Temporale Logik der Aktionen

Die Temporale Logik der Aktionen (TLA, Vorlage:EnS) wurde von Leslie Lamport entwickelt. Sie baut zum einen auf der Temporalen Logik (engl. Vorlage:Lang) und zum anderen auf der Logik der Aktionen (engl. Vorlage:Lang) auf, ist folglich im Ansatz eine Verknüpfung einer Erweiterung der Aussagenlogik durch die Temporale Logik mit der Sprache Logik der Aktionen, in der sich Prädikate, Zustandsfunktionen und Aktionen beschreiben lassen. Es handelt sich um eine Variante der von Amir Pnueli eingeführten temporalen Logik für Programme.

Die Temporale Logik der Aktionen wird in der Informatik zur Spezifikation, Argumentation und Verifikation von Systemen (z. B. Programmen) verwendet. Eine Spezifikation in TLA ist eine logische Formel, die jedes mögliche und korrekte Verhalten eines Systems beschreibt. Anhand dieser logischen Formel können Systeme auf unerwünschte und gewünschte Eigenschaften geprüft werden.

Die Logik der Aktionen in der theoretischen Informatik beschäftigt sich mit der Korrektheit von Ausführungen von Computerprogrammen und ermöglicht die Untersuchung der Korrektheit von Programmen.^[1]

• Sei ${\displaystyle F}$ ein syntaktisches Objekt, dann ist ${\displaystyle [[F]]}$ seine semantische Bedeutung.
• ${\displaystyle \widehat{=}}$ ist eine andere Schreibweise für ${\displaystyle :=}$ und bedeutet „gleich per definitionem“.
• ${\displaystyle s[[v]]/v}$ bedeutet, dass ${\displaystyle v}$ durch ${\displaystyle s[[v]]}$ ersetzt wird.

Die Logik der Aktionen verwendet die folgenden drei Klassen:

${\displaystyle \mathbf{\text{Var}}}$ – die Klasse aller Variablennamen

${\displaystyle \mathbf{\text{Val}}}$ – die Klasse aller möglichen Werte für die Variablen (z. B. 10, „string“, ${\displaystyle \mathrm{True}}$)

${\displaystyle \mathbf{\text{St}}}$ – die Klasse aller möglichen Zustände

Ein Zustand ist eine Abbildung ${\displaystyle s:\mathbf{\text{Var}}\to \mathbf{\text{Val}},x\mapsto s(x)}$, das heißt, der Variablen ${\displaystyle x}$ wird der Zustand ${\displaystyle s(x)}$ zugewiesen. Die Zustände beschreiben die Semantik. Man verwendet ${\displaystyle s[[x]]}$ statt ${\displaystyle s(x)}$. Mit ${\displaystyle [[x]]}$ bezeichnet man somit die Abbildung ${\displaystyle [[x]]:\mathbf{\text{St}}\to \mathbf{\text{Val}}}$.

Somit ist die Schreibweise ${\displaystyle s[[x]]}$ in polnischer Notation und bedeutet Anwendung von ${\displaystyle s}$.^[2]

Eine Zustandsfunktion (engl. state function) ist ein nicht-boolescher Ausdruck aus Variablen und Konstanten, zum Beispiel ${\displaystyle f:=x^2+y+4}$, dazu gehören auch Variablen ${\displaystyle x}$ (da eine Variable als die Identitätsabbildung ${\displaystyle x\mapsto x}$ interpretiert werden kann). Der Ausdruck ${\displaystyle [[f]]}$ ist dann die Abbildung ${\displaystyle [[f]]:\mathbf{\text{St}}\to \mathbf{\text{Val}},s\mapsto s[[f]]}$, das heißt, ${\displaystyle [[f]]}$ oder ${\displaystyle [[x^2+y+4]]}$ ist eine Abbildung, die dem Zustand ${\displaystyle s}$ den Wert ${\displaystyle {(s[[x]])}^2+s[[y]]+4}$ zuordnet. Die Notation ${\displaystyle s[[f]]}$ bezeichnet den Wert, den ${\displaystyle [[f]]}$ dem Zustand ${\displaystyle s}$ zuordnet.

Die semantische Definition von ${\displaystyle s[[f]]}$ lautet^[3]

${\displaystyle s[[f]]\widehat{=}f(\mathrm{\forall }v:s[[v]]/v)}$.

Der Ausdruck ${\displaystyle f(\mathrm{\forall }v:s[[v]]/v)}$ bedeutet somit den Wert von ${\displaystyle f}$, wenn man alle ${\displaystyle v}$ durch ${\displaystyle s[[v]]}$ ersetzt.

Zusammenfassend:

Zustand	${\displaystyle s}$	${\displaystyle \mathbf{\text{Var}}\to \mathbf{\text{Val}},x\mapsto s(x)=:s[[x]]}$
Zustandsfunktion	${\displaystyle f}$	${\displaystyle x^2+y+4}$
Semantik	${\displaystyle [[f]]}$	${\displaystyle \mathbf{\text{St}}\to \mathbf{\text{Val}},s\mapsto s[[f]]=(s[[x]]{)}^2+s[[y]]+4}$

Ein boolescher Ausdruck ${\displaystyle P}$ aus Variablen und Konstanten wird Zustandsprädikat (oder kurz Prädikat) genannt, ein Beispiel ist der Ausdruck ${\displaystyle x=3+y}$. Mit ${\displaystyle [[P]]}$ bezeichnet man die Abbildung ${\displaystyle [[P]]:\mathbf{\text{St}}\to \mathrm{Booleans}}$ und ${\displaystyle s[[P]]}$ ordnet entweder ${\displaystyle \mathrm{True}}$ oder ${\displaystyle \mathrm{False}}$ dem Zustand ${\displaystyle s}$ zu. Wenn ${\displaystyle s[[P]]=\mathrm{True}}$ gilt, dann sagt man ${\displaystyle s}$ erfüllt das Prädikat ${\displaystyle P}$.^[3]

Eine Aktion ${\displaystyle 𝒜}$ ist ein boolescher Ausdruck, der die Beziehung zwischen einem alten Zustand ${\displaystyle s}$ und einem neuen Zustand ${\displaystyle t}$ beschreibt. Die Aktion besteht aus „alten Variablen“ und „neuen Variablen“, wobei letztere mit einem ${\displaystyle }$ markiert sind. Zum Beispiel ist ${\displaystyle x^{\prime }+2=y}$ eine Aktion, die sagt, dass ${\displaystyle y}$ im alten Zustand um ${\displaystyle 2}$ größer ist als ${\displaystyle x}$ im neuen Zustand.

Der Ausdruck ${\displaystyle [[𝒜]]}$ beschreibt die Beziehung zwischen zwei Zuständen, das heißt einen binären Operator, der den beiden Zuständen ${\displaystyle s,t}$ einen booleschen Wert ${\displaystyle s[[𝒜]]t}$ zuweist, dabei wird per definitionem links der alte Zustand und rechts der neue Zustand geschrieben. Die semantische Bedeutung ${\displaystyle s[[𝒜]]t}$ von ${\displaystyle 𝒜}$ erhält man, indem man ${\displaystyle v}$ durch ${\displaystyle s[[v]]}$ und ${\displaystyle v^{\prime }}$ durch ${\displaystyle t[[v]]}$ ersetzt. Ist ${\displaystyle s[[𝒜]]t=\mathrm{True}}$, dann nennt man ${\displaystyle s,t}$ einen ${\displaystyle 𝒜}$-Schritt (engl. ${\displaystyle 𝒜}$-step).

Der Ausdruck ${\displaystyle s[[y=x^{\prime }+1]]t}$ bedeutet somit das Gleiche wie der boolesche Ausdruck ${\displaystyle s[[y]]=t[[x]]+1}$.

Die semantische Definition von ${\displaystyle s[[𝒜]]t}$ lautet

${\displaystyle s[[𝒜]]t\widehat{=}𝒜(\mathrm{\forall }v:s[[v]]/v,t[[v]]/v^{\prime })}$.

Variablen die unterschiedliche Werte in verschiedenen Zuständen besitzen können, werden flexible Variablen (engl. flexible variables) genannt. Variablen die konstant bleiben (aber auch unbekannt sein könne) werden rigide Variablen (engl. rigid variables) genannt. Beispielsweise sei ${\displaystyle x}$ eine flexible Variable, dann besitzt die Aktion

${\displaystyle \mathrm{\exists }m\in \mathbb{N}:m{x}^{\prime }=n+x}$

zwei rigide Variablen ${\displaystyle m,n}$, die nicht verändert werden.

Ein Prädikat kann als Aktion ohne Variablen mit ${\displaystyle }$ verstanden werden. Die Aktion ${\displaystyle s[[P]]t}$ ist gleich dem booleschen Ausdruck ${\displaystyle s[[P]]}$ für alle ${\displaystyle s,t}$. Für Zustandsfunktionen und Prädikate ${\displaystyle F}$ definiert man ${\displaystyle F^{\prime }}$ als den Ausdruck, den man erhält, wenn man alle Variablen durch deren neue Variable ersetzt, das heißt also

${\displaystyle F^{\prime }\widehat{=}F(\mathrm{\forall }v:v^{\prime }/v)}$.

Des Weiteren ist ${\displaystyle s[[P^{\prime }]]t}$ der gleiche Ausdruck wie ${\displaystyle t[[P]]}$, für alle Zustände ${\displaystyle s,t}$.

Eine Aktion ${\displaystyle 𝒜}$ ist gültig (engl. valid), geschrieben ${\displaystyle \models 𝒜}$ (siehe Tautologie), falls jeder Schritt ein ${\displaystyle 𝒜}$-Schritt ist, das heißt also, ${\displaystyle s[[𝒜]]t}$ ist ${\displaystyle \mathrm{True}}$ für alle ${\displaystyle s,t\in \mathbf{\text{St}}}$. Die semantische Definition lautet

${\displaystyle \models 𝒜\widehat{=}\mathrm{\forall }s,t\in \mathbf{\text{St}}:s[[𝒜]]t}$

und für ein Prädikat ${\displaystyle P}$

${\displaystyle \models P\widehat{=}\mathrm{\forall }s\in \mathbf{\text{St}}:s[[P]]}$.

Ein Beispiel für eine gültige Aussage ist

${\displaystyle (x^{\prime }+y\in \mathbb{N})⟹(x^{\prime }+y\ge -x^{\prime }+-y)}$.

Beweisbare Formeln ${\displaystyle F}$ werden wie in der mathematischen Logik mit ${\displaystyle ⊢F}$ notiert (siehe Ableitung).

Sei ${\displaystyle 𝒜}$ eine Aktion, dann ist ${\displaystyle Enabled𝒜}$ ein Prädikat, das genau dann für einen Zustand wahr ist, falls es in dem Zustand möglich ist, einen ${\displaystyle 𝒜}$-Schritt auszuführen. Die semantische Definition lautet^[4]

${\displaystyle s[[Enabled𝒜]]\widehat{=}\mathrm{\exists }t\in \mathbf{\text{St}}:s[[𝒜]]t}$

für jeden Zustand ${\displaystyle s}$.

Die temporale Logik ist ein System von Regeln und Symbolen, durch die man zeitliche Abläufe erfassen kann. Die Semantik der temporalen Logic baut auf „Verhalten“ (engl. behaviors) auf, wobei damit eine unendliche Folge von Zuständen gemeint ist.^[5]

Temporale Formeln bestehen aus elementaren Formeln sowie booleschen Operatoren und dem unären Operator ${\displaystyle ◻}$, der „immer“ (engl. always) oder „global“ (engl. global) bedeutet. Mit ${\displaystyle \sigma [[F]]}$ wird der boolesche Ausdruck bezeichnet, den das ${\displaystyle F}$ dem Verhalten ${\displaystyle \sigma }$ zuweist. Mit ${\displaystyle ⟨s_0,s_1,\dots ⟩}$ wird das Verhalten bezeichnet, das im Zustand ${\displaystyle s_0}$ beginnt. Man sagt ${\displaystyle \sigma }$ erfüllt ${\displaystyle F}$ genau dann, wenn ${\displaystyle \sigma [[F]]=\mathrm{True}}$.

Da alle booleschen Ausdrücke durch ${\displaystyle \wedge }$ und ${\displaystyle \mathrm{\neg }}$ beschrieben werden können, genügt es, die Ausdrücke ${\displaystyle [[\mathrm{\neg }F]],[[F\wedge G]]}$ und ${\displaystyle [[◻F]]}$ zu definieren. Die semantischen Definitionen sind somit^[6]

${\displaystyle \sigma [[F\wedge G]]\widehat{=}\sigma [[F]]\wedge \sigma [[G]]}$

${\displaystyle \sigma [[\mathrm{\neg }F]]\widehat{=}\mathrm{\neg }\sigma [[F]]}$

${\displaystyle ⟨s_0,s_1,\dots ⟩[[◻F]]\widehat{=}\mathrm{\forall }n\in \mathbb{N}:⟨s_n,s_{n+1},s_{n+2},\dots ⟩[[F]],}$

wobei der erste Ausdruck bedeutet, dass ein Verhalten ${\displaystyle F\wedge G}$ erfüllt, falls es beide Formeln ${\displaystyle F}$ und ${\displaystyle G}$ erfüllt. Der zweite Ausdruck bedeutet, dass das Verhalten ${\displaystyle \mathrm{\neg }F}$ erfüllt, wenn es ${\displaystyle F}$ nicht erfüllt. Die linke Seite des dritten Ausdruckes ${\displaystyle ⟨s_0,s_1,\dots ⟩[[◻F]]}$ bedeutet, dass die Formel ${\displaystyle F}$ ab Zustand ${\displaystyle s_0}$ gültig ist. Das heißt, die letzte Definition sagt, dass ${\displaystyle F}$ immer gültig ist (da es per Induktionsschritt definiert ist).^[3]

Die Formel ${\displaystyle \mathrm{\neg }◻\mathrm{\neg }F}$ bedeutet, dass ${\displaystyle F}$ nicht immer falsch ist und wird mit ${\displaystyle ◊F}$ abgekürzt und schlussendlich (engl. eventually) genannt:

${\displaystyle ◊F\widehat{=}\mathrm{\neg }◻\mathrm{\neg }F}$

Die Formel ${\displaystyle ◊◻F}$ bedeutet, dass ${\displaystyle F}$ schlussendlich immer wahr ist.

Eine temporale Formel ${\displaystyle F}$ ist gültig, falls jedes Verhalten die Formel erfüllt:

${\displaystyle \models F\widehat{=}\mathrm{\forall }\sigma \in {\mathbf{\text{St}}}^{\mathrm{\infty }}:\sigma [[F]]}$

Die temporale Logik der Aktionen erhält man, wenn temporale Formeln Aktionen sein können. Die Formeln der TLA bestehen somit aus den logischen Operatoren sowie dem temporalen Operator ${\displaystyle ◻}$.

Gegeben sei ein Algorithmus, der im Zustand ${\displaystyle x=0}$ und ${\displaystyle z=0}$ beginnt und dann nichtdeterministisch entweder ${\displaystyle x}$ inkrementiert und ${\displaystyle z}$ dekrementiert, oder umgekehrt. Als TLA würde das so aussehen:

${\displaystyle Ini{t}_{\varphi }\widehat{=}(x=0)\wedge (z=0)}$

${\displaystyle {𝒜}_1\widehat{=}(x^{\prime }=x+1)\wedge (z^{\prime }=z-1)}$

${\displaystyle {𝒜}_2\widehat{=}(x^{\prime }=x-1)\wedge (z^{\prime }=z+1)}$

${\displaystyle 𝒜\widehat{=}{𝒜}_1\vee {𝒜}_2}$

${\displaystyle \varphi \widehat{=}Ini{t}_{\varphi }\wedge ◻𝒜}$

Dabei bezeichnet ${\displaystyle \varphi }$ eine Formel, ${\displaystyle Ini{t}_{\varphi }}$ den Initialzustand und ${\displaystyle 𝒜}$ eine Aktion.

Als stotternde Schritte (engl. stuttering steps) werden Schritte bezeichnet, die das Programm pausieren. In dem Beispiel oben würde das bedeuten, dass ${\displaystyle x}$ und ${\displaystyle z}$ nicht verändert werden. Ein solcher Schritt lässt sich zum Beispiel so implementieren:^[7]

${\displaystyle Ini{t}_{\varphi }\widehat{=}(x=0)\wedge (z=0)}$

${\displaystyle {𝒜}_1\widehat{=}(x^{\prime }=x+1)\wedge (z^{\prime }=z-1)}$

${\displaystyle {𝒜}_2\widehat{=}(x^{\prime }=x-1)\wedge (z^{\prime }=z+1)}$

${\displaystyle {𝒮}_1\widehat{=}(x^{\prime }=x)\wedge (z^{\prime }=z)}$

${\displaystyle 𝒜\widehat{=}{𝒜}_1\vee {𝒜}_2}$

${\displaystyle \varphi \widehat{=}Ini{t}_{\varphi }\wedge ◻(𝒜\vee {𝒮}_1)}$

Um stotternde Schritte einfach zu beschreiben, führt man weitere Notationen ein. Mit der Notation ${\displaystyle ⟨x^{\prime },z^{\prime }⟩=⟨x,z⟩}$ wird ${\displaystyle (x^{\prime }=x)\wedge (z^{\prime }=z)}$ bezeichnet und statt ${\displaystyle ⟨x^{\prime },z^{\prime }⟩}$ zu schreiben, notiert man einfach ${\displaystyle ⟨x,z{⟩}^{\prime }}$. Für eine Zustandsfunktion ${\displaystyle f}$ und eine Aktion ${\displaystyle 𝒜}$ definieren wir:

${\displaystyle [𝒜{]}_f\widehat{=}𝒜\vee (f^{\prime }=f)}$

Dann bedeutet ${\displaystyle [ℳ{]}_{⟨x,z⟩}}$ somit:

${\displaystyle [ℳ{]}_{⟨x,z⟩}=ℳ\vee (⟨x,z{⟩}^{\prime }=⟨x,z⟩)=ℳ\vee ((x^{\prime }=x)\wedge (z^{\prime }=z))=ℳ\vee {𝒮}_1}$

Somit lassen sich die beiden Zeilen

${\displaystyle {𝒮}_1\widehat{=}(x^{\prime }=x)\wedge (z^{\prime }=z)}$

${\displaystyle \varphi \widehat{=}Ini{t}_{\varphi }\wedge ◻(𝒜\vee {𝒮}_1)}$

vereinfachen zu

${\displaystyle \varphi \widehat{=}Ini{t}_{\varphi }\wedge ◻[𝒜{]}_{⟨x,z⟩}}$.

Für die TLA gelten die Symbole der booleschen Algebra sowie alle oben definierten Ausdrücke und zusätzlich

${\displaystyle {[𝒜]}_f}$	${\displaystyle \widehat{=}}$	${\displaystyle 𝒜\vee (f^{\prime }=f)}$
${\displaystyle {⟨𝒜⟩}_f}$	${\displaystyle \widehat{=}}$	${\displaystyle 𝒜\wedge (f^{\prime }\ne f),}$

wobei ${\displaystyle 𝒜}$ eine Aktion ist, ${\displaystyle f}$ eine Zustandsfunktion ist und durch Anwendung logischer Gesetze ${\displaystyle (𝒜\wedge (f^{\prime }\ne f))=\mathrm{\neg }(\mathrm{\neg }𝒜\vee (f^{\prime }=f))}$ gilt.

Für die Formel-Syntax gilt:

${\displaystyle ⟨Formel⟩}$

${\displaystyle \widehat{=}}$

${\displaystyle ⟨Formel⟩\wedge ⟨Formel⟩}$ ${\displaystyle |}$ ${\displaystyle ⟨Formel⟩\vee ⟨Formel⟩}$ ${\displaystyle |}$ ${\displaystyle \mathrm{\neg }⟨Formel⟩}$ ${\displaystyle |}$ ${\displaystyle ◻⟨Formel⟩}$ ${\displaystyle |}$ ${\displaystyle ◊⟨Formel⟩}$ ${\displaystyle |}$ ${\displaystyle ⟨Pr\ddot{a}dikat⟩}$ ${\displaystyle |}$ ${\displaystyle ◻{[Aktion]}_{⟨f⟩}}$ ${\displaystyle |}$ ${\displaystyle ◻{⟨Aktion⟩}_{⟨f⟩}}$

Das Symbol ${\displaystyle |}$ ist als Trennungszeichen zu verstehen.

Eine Sicherheitseigenschaft (engl. safety property) garantiert, dass unerwünschte Zustände nicht passieren. Zum Beispiel ist der durch ${\displaystyle Ini{t}_{\varphi }}$ spezifizierte Start eine Sicherheitseigenschaft.

Eine Lebendigkeitseigenschaft (engl. liveness property) garantiert, dass erwünschte Zustände erreicht werden, was mit dem ${\displaystyle ◊◻𝒜}$ formuliert werden kann. Möchte man eine Fairness und dass zwei Eigenschaften unendlich Mal wiederholt werden, so verwendet man stattdessen ${\displaystyle ◊◻{𝒜}_1\wedge ◊◻{𝒜}_2}$. Somit würde man im obigen Beispiel Folgendes erhalten:

${\displaystyle \varphi \widehat{=}Ini{t}_{\varphi }\wedge ◻[𝒜{]}_{⟨x,z⟩}\wedge ◊◻{𝒜}_1\wedge ◊◻{𝒜}_2}$

In einem nebenläufigen System unterscheidet man zwischen schwacher und starker Fairness.

Schwache Fairness ${\displaystyle \mathrm{WF}}$ (engl. weak fairness, justice) bedeutet, dass eine Aktion unendlich oft ausgeführt werden muss, wenn ihre Ausführung ab einem bestimmten Zeitpunkt immer möglich ist.

Starke Fairness ${\displaystyle \mathrm{SF}}$ (engl. strong fairness, compassion) bedeutet, dass eine Aktion ausgeführt werden muss, wenn ihre Ausführung so oft möglich ist.

Ist ein Verhalten stark fair bezüglich einer Aktion, so ist es auch schwach fair für diese Aktion.

• Formale Systeme
• Formale Semantik
• Formale Sprache

• Leslie Lamport: The Temporal Logic of Actions. ACM Transactions on Programming Languages and Systems, Band 16, Mai 1994, S. 872–892 (PDF; 485 kB).
• Leslie Lamport: Introduction to TLA. Digital System Research Center, Palo Alto 1997 (PDF; 121 kB).

• Stephan Merz: Temporal logic guide (englisch).
• TLA+ – The way to specify. Community website on TLA+ and PlusCal (englisch).
• Leslie Lamport: The TLA+ Home Page (englisch).
• Patricia Ulmer: Vorlage:Webarchiv. (PDF; 413 kB). Proseminar-Ausarbeitung, TU München.
• Leslie Lamport: My Papers About TLA and TLA+.