Tableaukalkül - TECHNICAL REPORTS IN COMPUTER SCIENCE Technical University of Dortmund

DiePräfixrelation≤aufN^∗ist wie folgt definiert: Für allev,w∈N^∗,

v≤w ⇔_def es gibtu∈N^∗mitvu=w, v<w ⇔_def v≤wundv6=w.

Istv≤w, dann heißtwvonvauserreichbar.

Istv<w, dann heißtvVorgängervonwundwNachfolgervonv.

leaves(t,w)bezeichnet die Menge aller vonwaus erreichbaren Blätter vont.

path(v,w)=_def {u∈N^∗|v≤u≤w}heißtPfadoderWeg vonvnachw.

≤überträgt sich auf Bäume wie folgt und heißt dortSubsumptionsrelation: Für alleL-markierten Bäumetund t⁰,

t≤t⁰ ⇔_def für allew∈ f⁻¹(L),t(w) =t⁰(w).

6.4 Tableaukalkül

Ein (aussagenlogisches)Tableauist ein endlicher Baumt, dessen Knoten mit aussagenlogischen Formeln markiert sind.trepräsentiert die aussagenlogische Formel

form(t) = ^_{^{^}path(e,w)|wist ein Blatt vont}.

Da die Summe der Längen aller Pfade eines Baumsti.d.R. größer ist als die Anzahl aller Knoten vont, ist die Darstellung einer aussagenlogischen Formel als Tableau platzsparender als die Formel selbst.

Sei ϕeine NNF. Eine Folge(t1, . . . ,tn)von Tableaus heißt (aussagenlogische)Tableau-Ableitung vontn aus ϕ, wenn

• t1ein mitϕmarkiertes Blatt ist,

• für alle 1≤i<n ti+1durch Anwendung einer Tableauregel (siehe unten) austigebildet ist,

• tngesättigt(saturated) ist, d.h. auftnist keine Tableauregel anwendbar, m.a.W.:form(tn)ist eine DNF.

Enthältform(tn)eine geschlossene Konjunktion, dann heißt(t₁, . . . ,tn)Tableau-Widerlegung.

Wir schreibenϕ`_T t, falls es eine Tableau-Ableitung vontausϕgibt.

Aussagenlogische Tableauregeln Sei t ein Tableau undw ein Knoten von t. Wir nennen ihn den Redex der jeweiligen Regelanwendung, dietin das neue Tableaut⁰transformiert.

• ∨-Regel Seit(w) =ϕ∨ψ. Für alleu∈_N^∗,

Anschaulich gesprochen, bildet die∨- bzw.∧-Regelt⁰aust, indem sie den Knotenwmit>markiert sowieϕund ψparallel bzw. hintereinander an alle vonwaus erreichbaren Blätter vontanhängt.

66 6 Aussagenlogik (propositional logic)

Aufgabe Die Gleichungen vonnegALlegen weitere Tableauregeln nahe, die zusammen mit den vier obigen nicht nur NNFs, sondern beliebige aussagenlogische Formeln verarbeiten können. Wie lauten die zusätzlichen Regeln?

Satz 6.5(Korrektheit aussagenlogischer Tableau-Ableitungen) Seiϕ`T t.

(i)ϕ≡²form(t).

(ii)Alle Summanden vonform(t)sind geschlossen. Dann istϕunerfüllbar.

Beweis. (i): Sei(t1, . . . ,tn)eine Tableau-Ableitung vontausϕ. Dann istform(t1) = ϕundtn = t. Es genügt also

Eine NNFϕsei unerfüllbar. Dann gibt es ein Tableautmitϕ`_T tund der Eigenschaft, dassform(t)keine offene Konjunktion von Literalen enthält.

Beweis. Wiederholte Anwendungen der Tableauregeln führen von ϕ(als einknotigem Tableau t) zu einem ge-sättigten Tableaut, weil jede Regelanwendung die Knotenanzahl eines Tableaus zwar erhöht, die Gesamtzahl der Vorkommen von∨und∧jedoch verkleinert, so dass irgendwann ein Tableau ohne diese Symbole, also ein gesättigtes Tableaut, erreicht ist.

Seiϕunerfüllbar. Aus Satz 6.5 (i) folgt, dass ϕundtin der Bitalgebra äquivalent sind, womit sich die Unerfüll-barkeit vonϕaufform(t)überträgt. Datgesättigt undform(t)unerfüllbar ist, folgt aus (7), dass alle Summanden

vonform(t)geschlossen sind. o

Erfüllbarkeitstest für aussagenlogische NNFs

Seiϕeine NNF. Wende Tableauregeln in beliebiger Reihenfolge aufϕan, bis ein gesättigtes Tableauterreicht ist.

Prüfe, obform(t)eine offene Konjunktion von Literalen enthält.

Wenn ja, istform(t)– wegen (6) – erfüllbar. Wenn nein, istform(t)– ebenfalls wegen (6) – unerfüllbar. Aus Satz 6.5 (i) folgt, dass sich die Erfüllbarkeit bzw. Unerfüllbarkeit vonform(t)auf ϕüberträgt.

Jede inform(t)enthaltene offene Konjunktionϕ₁∧ · · · ∧ϕnvon Literalen liefert eine Belegungg, dieform(t), also auchϕerfüllt: Sei 1≤i≤n. Setzeg(ϕ_i) =

( 1 fallsϕ_i ∈At, 0 sonst.

Effizienter wird der Test, wenn man nicht erst im gesättigten Tableau nach offenen Konjunktionen sucht, sondern schon vorher Teiltableaus entfernt, deren Pfade komplementäre Literale enthalten. Dazu muss der Kalkül um folgende Regeln erweitert werden, die alle Unterbäumet⁰vontdurch ein Blatt mit der Markierung⊥ersetzen, sofern die Wurzel wvon t⁰ mit einem Literal ϕund ein Vorgänger vonw int mit dem zu ϕkomplementären Literal markiert ist:

6.5 Highlights 67

• Literalregel Seit(w) =¬ϕundϕ∈ At. Für alleu∈N^∗,

t⁰(u) =_def











⊥ fallsu>wundt(u) =ϕ,

∗ falls esv>wgibt mitt(v) =ϕundu>v, t(u) _sonst.

Außerdem ist in der∨- und der∧-Regel die Mengeleaves(t,w)der vonwaus erreichbaren Blätter vontauf die-jenigen zu beschränken, die nicht mit⊥markiert sind.

Schließlich wird der Erfüllbarkeitstest für NNFs zu einem Erfüllbarkeitstest für beliebige aussagenlogische For-meln, wenn er die oben erwähnten, aus den Gleichungen vonnegALgebildeten Tableauregeln mitverwendet.

Beispiele

1. SeiAt={x,y,z,x1,y1,z1,x2}.+Erfüllbarkeitstest der Formel

(((x∧y)∨z)∧x1)∨y1∨z1∨ ¬x2

Die Formel ist allgemeingültig, da das letzte Tableau der Ableitung kein mitfalsemarkiertes Blatt enthält.

2. SeiAt={x,y,z}.+Erfüllbarkeitstest der Formel

(¬x∧(y∨x)∧(y⇒x))∨(x∧((¬x∧y)∨ ¬y))

Aus den mitfalsemarkierten Blättern des letzten Tableaus der Ableitung ergibt sich, dass g ∈ 2^At die Formel genau dann erfüllt, wenng(x) =1 undg(y) =0 ist.

6.5 Highlights

Signaturder Aussagenlogik:AL={⊥,>: 0→1, ¬: 1→1, ∨,∧,⇒: 2→1}

Semantikder Aussagenlogik:AL-Algebra mit Trägermenge 2={0, 1}(“Bitalgebra”) und folgender Interpretati-on vInterpretati-onAL:

⊥² = _0,

>² = 1,

¬² = λb.1−b,

∧² = min,

∨² = max,

⇒² = λ(b,c).max(1−b,c) = χ(≤).

ϕ,ψ∈T_AL(X)sindäquivalent, wenn dieAL-Gleichungϕ≡ψin der Bitalgebra gültig ist.

g:At→2erfülltϕoder ist einModell vonϕ, geschrieben:g|=ϕ, wenng^∗(ϕ) =1 gilt.

Unerfüllbarkeitssatz:ψfolgt genau dann ausϕ, wennϕ∧ ¬ψunerfüllbar ist.

EineBoolesche Algebraist eineAL-Algebra, die folgendeAL-Gleichungen erfüllt:

x∨(y∨z)≡(x∨y)∨z x∧(y∧z)≡(x∧y)∧z (Assoziativität)

x∨y≡y∨x x∧y≡y∧x (Kommutativität)

x∨(x∧y)≡x x∧(x∨y)≡x (Absorption)

x∨(y∧z)≡(x∨y)∧(x∨z) x∧(y∨z)≡(x∧y)∨(x∧z) (Distributivität) x∨ ¬x ≡ > x∧ ¬x ≡ ⊥ (Auslöschung) Atome heißen auchpositive Literale, Formeln¬ϕmitϕ∈Atnegative Literale.

68 6 Aussagenlogik (propositional logic)

Eine Disjunktion von Konjunktionen paarweise verschiedener Literale heißtdisjunktive Normalform (DNF).

Eine Konjunktion von Disjunktionen paarweise verschiedener Literale heißtkonjunktive Normalform (KNF).

Satz 6.1 (9) und (10): Jede aussagenlogische Formel hat äquivalente DNFs und KNFs, wobeiBEdie Menge der obigen zehn Gleichungen ist.

Eine Disjunktion oder Konjunktion von Literalen ϕ1, . . . ,ϕn heißtgeschlossen, wenn es 1 ≤ i,j ≤ n gibt mit ϕ_i=¬ϕ_j.

Eine KNF (DNF)ϕist genau dann allgemeingültig (unerfüllbar), wenn alle ihre Faktoren (Summanden) geschlos-sen sind.

>sowie jede Implikationϕ⇒ψmit folgenden Eigenschaften heißtGentzenformel überAt(englisch:sequent):

• ϕ=>oderϕist eine Konjunktion paarweise verschiedener Atome,

• ψ=⊥oderψist eine Disjunktion paarweise verschiedener Atome.

Eine Gentzenformel heißtminimal, wenn in ihr kein Atom zweimal vorkommt.

Eine Konjunktion von Gentzenformeln heißtimplikative Normalform (INF).

Satz 6.1 (11): Jede aussagenlogische Formel hat eineBE-äquivalente INF.

Deraussagenlogische SchnittkalkülASKbesteht aus den in Abschnitt 6.2 angegebenen zwei Regeln zur Trans-formation aussagenlogischer Gentzenformeln. Die Gentzenformel des Sukzedenten der Schnittregel heißt Resol-vente.

EineASK-Widerlegungeiner MengeΦvon Gentzenformeln ist eineASK-Ableitung vonΦ` ⊥.

Korrektheit und Vollständigkeit vonASK-Ableitungen bzw. -Widerlegungen(Sätze 6.3 und 6.4): Für endliche MengenΦaussagenlogischer Gentzenformeln gilt:

AusΦ`_ASKψfolgtΦ|=ψ.

Φ`_ASK⊥gilt genau dann, wennΦunerfüllbar ist.

7 Modallogik 69

7 Modallogik

Während mit Aussagen- und Prädikatenlogik überall dasselbe gemeint ist, gibt es sowohl von der Syntax her als auch bzgl. der Semantik viele Modallogiken (siehe unten). Allen gemeinsam ist die Möglichkeit, Formeln in Abhängigkeit von verschiedenen Zuständen, Situationen, Welten, etc., auszuwerten. Die (Unterschiede zwischen den) Welten sind entweder in der Realität bereits vorhanden oder – und so wird Modallogik am häufigsten in der Informatik angewendet – werden im Rahmen eines Hardware- oder Softwareentwurfs entwickelt. Dann be-schreiben, anschaulich gesprochen, verschiedene Zustände verschiedene Gedächtnisinhalte.

Nehmen wir eine Zahltaste eines Handys, die je nachdem wie oft sie gedrückt wird, die Buchstaben A, B oder C anzeigt. Wie funktioniert das? Jeder Druck auf die Taste bringt das Handy in einen neuen Zustand. Die Gültigkeit elementarer Aussagen wie “A wird angezeigt” oder “B wird angezeigt” hängt vom aktuellen Zustand ab, der selbst vom Vorgängerzustand abhängt, usw.

Deshalb wird die Bedeutung einer modallogischen Formel nicht nur von einer zustandsabhängigen Belegung der Atome bestimmt, sondern auch von einer Transitionsfunktion, die allen im jeweiligen System möglichen Zustandsübergänge definiert.

Die hier behandelte Modallogik baut direkt auf der Aussagenlogik auf und erweitert diese um die einstelligen modalen Operationen3(diamond) und2(box), die es erlauben, Aussagen zu formulieren, deren Gültigkeit im gegenwärtigen Zustand von der Gültigkeit einer anderen Aussage in zukünftigen Situationen bestimmt wird.

SeiML=AL∪ {₂,3: 1→1}.

EinML-Term überAtheißtmodallogische Formel überAt.

Die Bedeutung modallogischer Formeln hängt ab von einerKripke-Strukturgenannten Funktion K:State→(P(State)× P(At)),

die jedem – manchmal auch “Welt” genannten – Zustand s ∈ Statedessen direkten Folgezustände sowie die Atome zuordnet, dieserfüllt.

Wegen Isomorphie (14) fürn=2 (siehe Kapitel 3) kannKgeschrieben werden als Produktextensionhδ,βizweier Funktionen

δ:State→ P(State) und β:State→ P(At).

δ heißt auchKripke-Rahmen oder Transitionsfunktion von K und bestimmt die Interpretation der modalen Operationen vonML, währendβdie BelegunggK(s.u.) der Atome inP(State)festlegt.

Kripke-Strukturen und andere zustandsbasierte Modelle sind – im Gegensatz zu induktiv definierten Mengen – black-box-Modelle, weil der Aufbau ihrer einzelnen Elemente verborgen bleibt. Die Identität eines Zustands kann nur durchBeobachtungseinesVerhaltensermittelt werden, das hier durchβundδbestimmt wird.

An die Stelle der Bitalgebra mit Trägermenge 2, auf der wir die Semantik aussagenlogischer Formeln aufgebaut haben, tritt jetzt eineML-Algebra mit TrägermengeP(State), die wirPow(δ)nennen, weil die Interpretation der SignaturMLin dieser Algebra nicht nur vonState, sondern auch vonδabhängt:

70 7 Modallogik

Für alleS,S⁰ ⊆State,

⊥^Pow(δ) = ∅,

>^Pow(δ) = State,

¬^Pow(δ)(S) = State\S,

∧^Pow(δ)(S,S⁰) = S∩S⁰,

∨^Pow(δ)(S,S⁰) = S∪S⁰,

⇒^Pow(δ)(S,S⁰) = (State\S)∪S⁰,

2^Pow(δ)(S) = {s∈State|δ(s)⊆S} = {s∈State| ∀s⁰ ∈δ(s):s⁰ ∈S}, 3^Pow(δ)(S) = {s∈State|δ(s)∩S6=_∅} = {s∈State| ∃s⁰∈δ(s):s⁰∈S}.

βbestimmt die BelegunggK:At→ P(State), unter der modallogische Formeln inPow(δ)– durch Anwendung der ausgKabgeleiteten Auswertungsfunktiong_K^∗ (siehe Kapitel 5) – ausgewertet werden:

Für allex∈ Atunds∈State,

gK(x) =_def {s∈State|x ∈β(s)}.

At incAt

TML(At)

= P(State)

g^∗_K

≺ gK

Seiϕ∈T_ML(At)_unds∈State. Das Paar(_ϕ,s)_heißtZustandsformel.

(K,s)ist einModellvonϕ, geschrieben:K |=_s ϕ, wennszug_K^∗(ϕ)gehört, in Worten: wennϕim Zustandsgilt.

Darauf aufbauend sindErfüllbarkeit,Allgemeingültigkeit,FolgerungundÄquivalenzmodallogischer Formeln wie am Anfang von Kapitel 2 definiert, wobei der zugrundeliegende semantische BereichDdurch die Menge al-ler Paare gegeben ist, die aus einer Kripke-StrukturK:State→(P(_State)× P(_At))und einem Zustands∈State bestehen.

Aufgabe Zeigen Sie (1)-(4) aus Kapitel 6 für modallogische Formeln. o

K=hδ,βiheißtendlich verzweigt(finitely branching), wenn für alles∈Statedie Mengeδ(s)endlich ist.

7.1 Übersetzung modallogischer in aussagenlogische Formeln

IstKendlich verzweigt, dann lässt sich die Frage, obKeine modallogische Formelϕim Zustandserfüllt, dadurch beantworten, dass man die Zustandsformel(ϕ,s)in eine aussagenlogische Formel überAt×Stateübersetzt und anschließend in der Bitalgebra auswertet. Der Übersetzer

ml2al:T_ML(At)×State→T_AL(At×State) ist wie folgt induktiv definiert:

7.1 Übersetzung modallogischer in aussagenlogische Formeln 71

Für allex∈ At,s∈State,c∈ {⊥,>},⊗ ∈ {∨,∧,⇒}undϕ,ψ∈T_ML(At)_, ml2al(x,s) = (x,s),

ml2al(c,s) = c,

ml2al(¬ϕ,s) = ¬ml2al(ϕ,s),

ml2al(ϕ⊗ψ,s) = ml2al(ϕ,s)⊗ml2al(ψ,s), ml2al(₂_ϕ,s) = ^V{ml2al(_ϕ,s⁰)|s⁰∈δ(s)}, ml2al(₃ϕ,s) = ^W{ml2al(ϕ,s⁰)|s⁰∈δ(s)}.

ML AL

x₁ x₂ x₃ x₁ x₂ x₃

s₁ s₂ s₃ ml2al

Zustandsformel über At

= (ML-Term über At, Zustand)

aussagenlogische Formel (= AL-Term) über At x State Auf semantischer Ebene wird eine Kripke-StrukturKin die aussagenlogische Belegung

hK =_def uncurry(χ◦gK):At×State→2 transformiert.

Satz 7.1(Korrektheit vonml2al)

Für alle Kripke-StrukturenKmit ZustandsmengeState,s∈Stateund modallogischen Formelnϕgilt:

K |=_s ϕ ⇔ hK|=ml2al(ϕ,s), (1)

in Worten:Kerfüllt die modallogische Formelϕim Zustandsgenau dann, wenn die aussagenlogische Belegung hKdie aussagenlogische Formelml2al(_ϕ,s)_erfüllt.

Beweis. Seis∈State. Nach Definition der modal- bzw. aussagenlogischen Erfüllbarkeitsrelation ist (1) äquivalent zu:

s∈ g^∗_K(ϕ) ⇔ h^∗_K(ml2al(ϕ,s)) =1. (2) Wir zeigen (2) durch strukturelle Induktion überT_ML(At).

Für allex∈ At,

s∈g^∗_K(x) ⇔ s∈gK(x)

⇔ h^∗_K(ml2al(x,s)) =h^∗_K(x,s) =uncurry(χ◦gK)^∗(x,s)

=uncurry(χ◦gK)(x,s) = (χ◦gK)(x)(s) =χ(gK(x))(s) =1, s∈g^∗_K(⊥) =_∅ ⇔ h^∗_K(ml2al(⊥,s)) =h^∗_K(⊥) =0,

s∈g^∗_K(>) =State ⇔ h^∗_K(ml2al(⊥,s)) =h^∗_K(>) =1.

Für alleϕ,ψ∈TML(At),

s∈g_K^∗(¬ϕ) ⇔ s∈State\g^∗_K(ϕ)

⇔ h^∗_K(ml2al(¬ϕ,s)) =h^∗_K(¬ml2al(ϕ,s)) =1−h^∗_K(ml2al(ϕ,s)))

ind.hyp.

= 1−0=1,

72 7 Modallogik

s∈g^∗_K(ϕ∧ψ) ⇔ s∈ g_K^∗(ϕ)∩g^∗_K(ψ)

⇔ h^∗_K(ml2al(ϕ∧ψ,s)) =h^∗_K(ml2al(ϕ,s)∧ml2al(ψ,s))

=min{h^∗_K(ml2al(ϕ,s)),h^∗_K(ml2al(ψ,s))}^ind.=^hyp.1, s∈g^∗_K(ϕ∨ψ) ⇔ s∈ g_K^∗(ϕ)∪g^∗_K(ψ)

⇔ h^∗_K(ml2al(ϕ∨ψ,s)) =h^∗_K(ml2al(ϕ,s)∨ml2al(ψ,s))

=max{h^∗_K(ml2al(ϕ,s)),h^∗_K(ml2al(ψ,s))}^ind.=^hyp.1, s∈g^∗_K(ϕ⇒ψ) ⇔ s∈(State\g^∗_K(ϕ))∪g^∗_K(ψ)

⇔ h^∗_K(ml2al(ϕ⇒ψ,s)) =h^∗_K(ml2al(ϕ,s)⇒ml2al(ψ,s))

=max{1−h^∗_K(ml2al(ϕ,s)),h^∗_K(ml2al(ψ,s))}^ind.=^hyp.1, s∈g^∗_K(₂ϕ) ⇔ δ(s)⊆g^∗_K(ϕ) ⇔ ∀s⁰ ∈δ(s):s⁰ ∈g^∗_K(ϕ)

⇔ h^∗_K(ml2al(₂ϕ,s)) =h^∗_K(^V{ml2al(ϕ,s⁰)|s⁰∈δ(s)})

=min{h^∗_K(ml2al(ϕ,s⁰))|s⁰∈δ(s)}^ind.=^hyp.min{1, . . . , 1}=1, s∈g^∗_K(₃ϕ) ⇔ δ(s)∩g^∗_K(ϕ)6=_∅ ⇔ ∃s⁰ ∈δ(s):s⁰∈g^∗_K(ϕ)

⇔ h^∗_K(ml2al(₃_ϕ,s)) =h^∗_K(^W{ml2al(_ϕ,s⁰)|s⁰∈δ(s)})

=max{h^∗_K(ml2al(ϕ,s⁰))|s⁰ ∈δ(s)}^ind.=^hyp.max{. . . , 1, . . .}=1. o Beispiel 7.2“Murmelspiel”

SeiState=2³,At={x1,x2,x3},K=hδ,βi:State→ P(State)× P(At)mit

δ(001) ={100, 010}, δ(010) ={001, 110}, δ(100) ={110, 010},

δ(₁₁₀) ={001, 101}, δ(₁₀₁) ={010, 110}, δ(₀₀₀) =δ(₀₁₁) =δ(₁₁₁) =_∅

und für alle a₁a2a3 ∈ State, β(a₁a2a3) = {x_i | a_i = 1, 1 ≤ i ≤ 3}. Die Werte von x₁,x2,x3 repräsentieren die jeweiligen Stellungen dreier Weichen auf dem Weg einer Murmel (siehe [34], Abschnitt B 5.1).

001 |= x_3

100 |= x_1 010 |= x_2

110 |= x_1,x_2

101 |= x_1,x_3

Von+Expander2erzeugter Transitionsgraph vonKinkl. die Zustände erfüllende Atome

Dann gilt

ml2al(₃₃₂x₃, 001)

=ml2al(_32x₃, 100)∨ml2al(_32x₃, 010)

=ml2al(₂x3, 110)∨ml2al(₂x3, 010)∨ml2al(₂x3, 001)∨ml2al(₂x3, 110)

=ml2al(₂x₃, 110)∨ml2al(₂x₃, 010)∨ml2al(₂x₃, 001)

=ml2al(x3, 001)∧ml2al(x3, 101)∨ml2al(x3, 001)∧ml2al(x3, 110)

∨ml2al(x3, 100)∧ml2al(x3, 010)

= (x3, 001)∧(x3, 101)∨(x3, 001)∧(x3, 110)∨(x3, 100)∧(x3, 010) (3)

7.1 Übersetzung modallogischer in aussagenlogische Formeln 73

Die o.g. BelegunghK :At×State→2(s.o.) hat hier folgende Werte: Für alle 1≤i≤3 unda₁a₂a₃∈State, hK(xi,a1a2a3)=uncurry(χ◦gK)(xi,a1a2a3) = (χ◦gK)(xi)(a1a2a3)

=χ(gK(xi))(a1a2a3) =χ({b1b2b3∈State|xi∈β(b1b2b3)})(a1a2a3)

=χ({b₁b₂b₃∈State|b_i =1})(a₁a₂a₃) =a_i. (4) Daraus folgt:

h^∗_K(ml2al(₃₃₂x3, 001))

(3)= _h^∗_K((_x₃_{, 001})∧(_x₃_{, 101})∨(_x₃_{, 001})∧(_x₃_{, 110})∨(_x₃_{, 100})∧(_x₃_{, 010})

=h^∗_K(x3, 001)∧²h^∗_K(x3, 101)∨²h^∗_K(x3, 001)∧²h^∗_K(x3, 110)

∨²h^∗_K(x3, 100)∧²h^∗_K(x3, 010)

=hK(x₃, 001)∧²hK(x₃, 101)∨²hK(x₃, 001)∧²hK(x₃, 110)

∨²hK(x3, 100)∧²hK(x3, 010)

(4)= ₁∧²1∨²1∧²0∨²0∧²0=_1.

Also ist(K, 001)nach Satz 7.1 ein Modell von332x3. 001

100 010

110

101

Transitionsgraph vonKmit grüner Markierung aller Zustände vonK, die332x3erfüllen, also aller Elemente von g^∗_K(₃₃₂x3)

Das Beispiel ist typisch für die Bildung vieler Zustandsmengen: Jeder Zustand ist ein Tupel von Werten (hier: 0 oder 1) einzelner Atome (hier:x1,x2oderx3). Man nennt solche Atome auchZustandsvariablen.

Die Transitionsfunktionδlässt sich dann auch als Flussgraph darstellen, dessen Pfade von der Wurzel zu einem Blatt alle möglichen Zustandsänderungen wiedergeben, und zwar in Form der Zuweisungen auf dem jeweiligen Pfad. Im Beispiel sieht der Flussgraph folgendermaßen aus:

choose

x1 = 0?

yes

x1 := not(x1)

x2 = 0?

yes

x2 := not(x2)

x3 := 0

x2 := not(x2)

x3 := 1

Aufgabe SeiK:State→(P(State)× P(At))eine Kripke-Struktur undx,y∈ At. Zeigen Sie, dass dieML-Algebra Pow(δ)alle in der Bitalgebra gültigenAL-Gleichungen und darüberhinaus folgendeML-Gleichungen erfüllt:

74 7 Modallogik

¬_3x≡₂¬x ¬_2x≡₃¬x (negM)

3(x∨y)≡_3x∨_3y ₂(x∧y)≡_2x∧_2y (distDia/distBox)

Eine modallogische Formel heißtNegationsnormalform überAt(NNF), wenn⇒in ihr nicht vorkommt und¬ nur direkt vor Atomen.

Der Beweis von Satz 6.1 (8) lässt sich leicht zu einem Beweis dafür fortsetzen, dass jede modallogische Formel überAtzu einer NNF(BE∪negM)-äquivalent ist.

7.2 Tableaukalkül

Fortan nennen wir eine Zustandsformel(ϕ,s)Zustandsatombzw.Zustandsliteral, wennϕein Atom bzw. Literal ist.

K=hδ,βierfüllteineTransition(s,s⁰), geschrieben:K |= (s,s⁰), wenns⁰zuδ(s)gehört.

Die Erweiterung des aussagenlogischen Tableaukalküls um Regeln für die modalen Operationen3und2dient dem Beweis der Erfüllbarkeit einer gegebenen Zustandsformel.δwird schrittweise im Laufe des Ableitungspro-zesses aufgebaut.

Demgegenüber gehtModel checking von einer Kripke-StrukturK aus und prüft die modallogischer Formeln für genau diese Kripke-Struktur. Hier kann der Tableaukalkül dazu dienen festzustellen, ob es für eine gegebene Formel ϕüberhaupt einen Zustandsmit K |=_s ϕgeben kann. Diese Frage lässt sich allerdings i.d.R. einfacher beantworten, indem mang_K^∗(ϕ)auf Leerheit testet.

Der Tableaukalkül wird deshalb eher in einem Szenario angewendet, in dem die Details der vom Kalkül konstru-ierten Kripke-Struktur keine Rolle spielen. Dann werden2und3meistens auch ohne direkte Verwendung einer Transitionsfunktion interpretiert; stattdessen werden2ϕund3ϕalsMöglichkeitbzw.Notwendigkeitder Gültigkeit vonϕbetrachtet.

SeiStateeine mindestens abzählbar unendliche Menge von Zuständen. Für alle Zustandsformelnϕnennen wir den Ausdruckbox(ϕ)einebesuchte Box-Formel.

Ein (modallogisches)Tableauist ein endlicher Baumt, dessen Knoten mit>, einer Transition, einer Zustandsfor-mel oder einer besuchten Box-ForZustandsfor-mel markiert sind (sieheKnotenmarkierte Bäume).

EinKnotenwvontheißtgeschlossen, wenn es zwei Knotenu≤ wundv ≤wgibt mitπ₁(t(u)) ≡² ¬π₁(t(v)) undπ₂(t(u)) =π₂(t(v)).wheißtoffen, wennwnicht geschlossen ist.

theißtgeschlossen, wenn alle Blätter vontgeschlossen sind.theißtoffen, wenntnicht geschlossen ist.

Eine Kripke-StrukturKerfülltt, geschrieben:K |=t, wenn es ein Blattwvontgibt mitK |= ϕfür alle Zustands-formeln und Transitionenϕ∈t(path(e,w)).

Eine Folge(t₁, . . . ,tn)von Tableaus heißt (modallogische)Tableau-Ableitung vontnaust₁, wenn

• t₁ein mit einer Zustandsformel markiertes Blatt ist,

• für alle 1<i≤n tidurch Anwendung einer Tableauregel (siehe unten) austi−1gebildet ist,

• tn gesättigt(saturated) ist, d.h. auftn ist keine Tableauregel anwendbar, m.a.W.: alle noch nicht besuchten Zustandsformeln vontnsind Zustandsliterale.

Isttngeschlossen, dann heißt(t1, . . . ,tn)Tableau-Widerlegung.

Wir schreibent`_T t⁰, falls es eine Tableau-Ableitung vont⁰austgibt.

7.2 Tableaukalkül 75

Modallogische Tableauregeln Seitein Tableau undwein Knoten vont. Wir nennen ihn denRedexder jeweili-gen Regelanwendung, dietin das neue Tableaut⁰transformiert.

• ∨_-Regel Seit(w) =(ϕ∨ψ,s). Für alleu∈_N^∗,

Aufgabe Die Gleichungen vonnegALundnegMlegen weitere Tableauregeln nahe, die zusammen mit den beiden obigen nicht nur NNFs, sondern beliebige modallogische Formeln verarbeiten können. Wie lauten die zusätzli-chen Regeln?

Lemma 7.3 Ein gesättigtes Tableautist genau dann erfüllbar, wenn es offen ist.

Beweis. Seiterfüllbar.Dann gibt es eine Kripke-Struktur

K:State→ P(State)× P(At) und ein Blattwvont, das vonKerfüllt wird.

Seien Φ = {(x1,s1), . . .(xm,sm)} und {(¬y1,s₁⁰), . . . ,(¬yn,s⁰_n)} die Mengen der positiven bzw. negativen Zu-standsliterale vont(path(e,w)). Dann gilt für alle 1≤i≤m,

gK(xi)(si) =g_K^∗(xi)(si) =1,

76 7 Modallogik

und für alle 1≤i≤n,

¬²(gK(y_i)(s⁰_i)) =¬²(g^∗_K(y_i)(s⁰_i)) =g^∗_K(¬y_i)(s⁰_i) =1, alsogK(yi)(s⁰_i) =0. Daraus folgt, dassΦund{(y1,s⁰₁), . . . ,(yn,s⁰_n)}disjunkt sind.

Für alle Knotenu ≤ wundv ≤ w,s∈ Stateund Literaleϕ,ψmitt(u) = (ϕ,s)undt(v) = (ψ,s)gilt demnach ϕ6=¬ψ.Also isttoffen.

Seitoffen.Dann gibt es ein Blattwvontmit der Eigenschaft, dass für je zwei Knotenu≤wundv≤w,s∈State und ein Literalϕmitt(u) = (ϕ,s)undt(v) = (ψ,s)ϕ6=¬ψgilt.

SeienR1die Menge der Transitionen undR2={(x1,s1), . . .(xm,sm)}und

{(¬y1,s⁰₁), . . . ,(¬yn,s⁰_n)}die Mengen der positiven bzw. negativen Zustandsliterale vont(path(e,w)).

SeiK = hmkfun(R1),mkfun(R⁻¹₂ )i (sieheIsomorphien). Wir zeigen, dassK terfüllt. Dat offen ist, sind βund {(y1,s⁰₁), . . . ,(yn,s⁰_n)}disjunkt. Daraus folgt für alle 1≤i≤m,

g^∗_K(x_i)(s_i) =gK(x_i)(s_i) =1, und für alle 1≤i≤n,

g^∗_K(¬y_i)(s_i⁰) =¬²(g^∗_K(y_i)(s⁰_i)) =¬²(gK(y_i)(s⁰_i)) =¬²(0) =1.

Also erfülltKalle Formeln vont(path(e,w)), d.h.Kerfülltt. o Für alle Tableaust,t⁰definieren wir:

t≤t⁰ ⇔_def für allew∈N^∗, t⁰(w)











=t(w) fallst(w)Zustandsliteral ist,

∈ {t(w)_,box(_ϕ,s)} fallst(w) = (₂_ϕ,s)_,

∈ {t(w),>} sonst.

Sei(t1, . . . ,tn) eine Tableau-Ableitung. Da jede Anwendung einer Tableauregel keine Knoten entfernt, sondern höchstens neue Knoten an vorhandene Blätter anhängt, giltti ≤ti+1für alle 1≤i<n.

Satz 7.4(Korrektheit modallogischer Tableau-Ableitungen) SeiK=hδ,βieine Kripke-Struktur.

(i)Aust`T t⁰undK |=tfolgtK |=t⁰. (ii)Seit⁰geschlossen. Dann isttunerfüllbar.

Beweis. (i): Sei(t1, . . . ,tn)eine Tableau-Ableitung vont⁰ aust. Wir zeigen, dass für alle 1 ≤ i < nK |= ti+1aus K |=t_ifolgt.

SeiK |=ti.Dann gibt es ein Blattvvontiderart, dassKalle Zustandsformeln und Transitionen vonti(path(e,v)) erfüllt. Istvauch ein Blatt vont_i+1, dann folgtK |=t_i+1aust_i ≤t_i+1.

Andernfalls giltw≤vfür den Redexwder Regelanwendung, die vont_izut_i+1führt, und es gibt einen Teilbaum tvvont_i+1, der das Blattvvont_iersetzt.

Angenommen,

es gibt ein Blattv⁰vontvderart, dassKalle Zustandsformeln

und Transitionen vontv(path(e,v⁰))erfüllt. (1) Dann erfülltKauch alle Zustandsformeln und Transitionen vont_i+1(path(e,v⁰)).

Also giltK |=ti+1. Zu zeigen bleibt (1).

7.2 Tableaukalkül 77

Fall 3: t_i+1wurde durch Anwendung der3-Regel aust_igebildet.

Sei{ϕ₁, . . . ,ϕn}=boxes(s,t,v). Dann gilt für alleu∈_N^∗,

Fall 4: t_i+1wurde durch Anwendung der2-Regel aust_igebildet.

Sei{s1, . . . ,sn}=succs(s,t,v). Dann gilt für alleu∈_N^∗,

(ii): Dat⁰geschlossen ist, folgt aus Lemma 7.3, dasst⁰unerfüllbar ist. Also ist wegen (i) auchtunerfüllbar. o

Satz 7.5(Vollständigkeit modallogischer Tableau-Ableitungen)

Sei(ϕ,s)eine unerfüllbare Zustandsformel und ein erstes Tableau wie folgt definiert: Für allew∈N^∗, t₁(w) =

( (ϕ,s) fallsw=e,

∗ sonst.

Dann gibt es eine Tableau-Widerlegung(t1, . . . ,tn).

Beweis. Wiederholte Anwendungen der Tableauregeln führen vont1 zu einem gesättigten Tableaut, weil jede Regelanwendung die Knotenanzahl eines Tableaus zwar erhöht, die Multimenge der Größen aller noch nicht besuchten Zustandsformeln jedoch verkleinert, so dass irgendwann ein Tableau ohne solche Formeln, also ein gesättigtes Tableau, erreicht ist, m.a.W.: es gibt eine Tableau-Ableitung(t₁, . . . ,tn). Es bleibt zu zeigen, dasstn

geschlossen ist.

78 7 Modallogik

Wir führen den Beweis durch Kontraposition, nehmen also an, dasstnoffen ist. Datngesättigt ist, folgt aus Lemma 7.3, dasstn erfüllbar ist, d.h. es gibt eine Kripke-StrukturK = hδ,βimitK |= tn, also ein Blattwvontn derart, dassKalle Zustandsformeln und Transitionen vontn(path(e,w))erfüllt.

SeiK⁰ =hδ⁰,βimitδ⁰(s) ={s⁰ ∈δ(s)|(s,s⁰)∈ tn(path(e,w))}für alles∈ State. Da jede Zustandsformel vontn

ein Zustandsliteral ist, also keine modalen Operationen enthält, deren Gültigkeit vonδabhängen könnte, erfüllt auchK⁰alle Zustandsformeln und Transitionen vontn(path(e,w)). (2) Wir zeigen zunächst durch Induktion überk=n−i, dass es für alle 1≤i≤nein Blattv≤wgibt derart, dass

K⁰alle Zustandsformeln und Transitionen vonti(path(e,v))erfüllt. (3) Fall 1: k=0. Dann isti=n. Also folgt (3) aus (2).

Fall 2: k> 0. Dann isti< nund nach Induktionsvoraussetzung gibt es ein Blattv ≤wvonti+1derart, dassK⁰ alle Zustandsformeln und Transitionen vont_i+1(path(e,v))erfüllt. Nach Konstruktion vont_i+1aust_igibt es ein Blattu≤vvont_i. Es bleibt zu zeigen, dass

K⁰alle Zustandsformeln und Transitionen vont_i(path(e,u))erfüllt. (4) Seiu⁰≤uundt_i(u⁰)eine Zustandsformel oder Transition.

Fall 2.1: t_i(u⁰) =t_i+1(u⁰). Wegenu⁰ ∈path(e,v)folgtK⁰ |=t_i(u⁰).

Fall 2.2: Es gibtϕ∈TML(At)unds∈Statemitti(u⁰) = (ϕ,s)undti+1(u⁰) =>.

Fall 2.2.1: ϕ= (ϕ⁰∨ψ). Dann führt eine Anwendung der∨-Regel vontinachti+1, d.h. es gibtv⁰ >vmitv⁰ ≤w undti+1(v⁰)∈ {(ϕ⁰,s),(ψ,s)}. Wegenv⁰∈ path(e,w)folgtK⁰ |= (ϕ⁰,s)oderK⁰ |= (ψ,s), alsoK⁰ |=(ϕ⁰∨ψ,s) = (ϕ,s).

Fall 2.2.2: ϕ = (ϕ⁰∧ψ). Dann führt eine Anwendung der∧-Regel vont_i nacht_i+1, d.h. es gibt v⁰,v⁰⁰ > vmit v⁰,v⁰⁰ ≤w,t_i+1(v⁰) = (ϕ⁰,s)undt_i+1(v⁰⁰) = (ψ,s). Wegenv⁰,v⁰⁰ ∈ path(e,w)folgtK⁰ |= (ϕ⁰,s)undK⁰ |= (ψ,s), alsoK⁰ |=(ϕ⁰∧ψ,s) =(_ϕ,_s)_.

Fall 2.2.3: ϕ =₃ψ. Dann gibt esv⁰ > v,v⁰⁰ > vunds⁰ ∈ Statemitv⁰,v⁰⁰ ≤ w,t_i+1(v⁰) = (s,s⁰)undt_i+1(v⁰⁰) = (s⁰,ψ). Wegenv⁰,v⁰⁰∈ path(e,w)folgts⁰∈δ(s)undK⁰ |= (ψ,s⁰), alsoK⁰|=(₃ψ,s) =(ϕ,s).

Fall 2.3: ϕ=₂ψundt_i+1(u⁰) =box(ψ,s). Seiδ(s) ={s₁, . . . ,s_k}. Nach Konstruktion vonK⁰und(t_i+1. . . ,tn)gibt esu1, . . . ,uk ∈ tn(path(e,w))mittn(ui) = (ψ,si)für alle 1 ≤i ≤k. Daraus folgtK⁰ |= (ψ,si)für alle 1 ≤i ≤k, alsoK |=(₂ψ,s) =(ϕ,s).

Dau⁰ ∈ path(e,u)beliebig gewählt wurde, haben wir (4) gezeigt, womit der Beweis von Fall 2 des Induktionsbe-weises von (3) beendet ist.

Damit gilt (3) insbesondere fürt1. Also erfülltK⁰die Zustandsformelt1(e) = (ϕ,s). o Erfüllbarkeitstest für modallogische NNFs

Sei(ϕ,s)eine NNF.

Wende Tableauregeln in beliebiger Reihenfolge auf das durcht₁(e) = (ϕ,s) undt₁(w) = ∗für allew ∈ _N⁺ definierte Tableau an, bis ein gesättigtes Tableauterreicht ist.

Prüfe, obtoffen ist.

Wenn ja, istt– nach Lemma 7.3 – erfüllbar. Wenn nein, istt– ebenfalls nach Lemma 7.3 – unerfüllbar. Im ersten Fall folgt aus Satz 7.5, dass(ϕ,s)erfüllbar ist. Im zweiten Fall folgt aus Satz 7.4 (ii), dasst₁, also auch(ϕ,s)

uner-füllbar ist. o

7.2 Tableaukalkül 79

Wie im aussagenlogischen Fall wird der Test effizienter, wenn man nicht erst im gesättigten Tableau nach offenen Blättern sucht, sondern schon vorher Teiltableaus entfernt, deren Pfade komplementäre Literale enthalten. Dazu muss der Kalkül um folgende Regeln erweitert werden, die alle Unterbäume t⁰ von t durch ein Blatt mit der Markierung⊥ersetzen, sofern die Wurzelwvont⁰mit einem Literalϕund ein Vorgänger vonwintmit dem zu ϕkomplementären Literal markiert ist:

Außerdem ist in den anderen Tableauregeln die Mengeleaves(t,w)der vonwaus erreichbaren Blätter vontauf diejenigen zu beschränken, die nicht mit⊥markiert sind.

Schließlich wird der Erfüllbarkeitstest für NNFs zu einem Erfüllbarkeitstest für beliebige modallogische Formeln, wenn er die oben erwähnten, aus den Gleichungen vonnegALundnegMgebildeten Tableauregeln mitverwendet.

Beispiele([34], Abschnitt B 6.2) SeiState={s₁,s2,s3, . . .}. 1. SeiAt={x}.+Erfüllbarkeitstest der Zustandsformel

(₃₃x∧₂(x⇒₂¬x),s₁)

Aus dem letzten Tableau der Ableitung ergibt sich, dass die Formel von jeder Kripke-Strukturhδ,βimitδ(_s₁) = {s2},δ(s2) ={s3},δ(s) =∅für alles∈State\ {s1,s2}undx ∈β(s3)\β(s2)erfüllt wird.

2. SeiAt={x,y}.+Erfüllbarkeitstest der Zustandsformel

(₃x∧₂¬y∧₃(x⇒y),s₁)

Aus dem letzten Tableau der Ableitung ergibt sich, dass die Formel von jeder Kripke-Strukturhδ,βimitδ(s₁) = {s2},δ(s1) ={s3},δ(s) =∅für alles∈State\ {s1,s2},x∈β(s2)\β(s3)undy6∈β(s2)∪β(s3)erfüllt wird.

3. SeiAt={x,y}.+Erfüllbarkeitstest der Zustandsformel

(₂(x⇒y)∧₃x∧₂¬y,s1)

Aus dem letzten Tableau der Ableitung ergibt sich, dass die Formel unerfüllbar ist. Dementsprechend ist ihre Negation erfüllbar, und zwar – wie ihr+Erfüllbarkeitstestzeigt – von jeder Kripke-Strukturhδ,βimit

• δ(s1) ={s2},x ∈β(s2)undy6∈β(s2), oder

• δ=∅, oder

• δ(s₁) ={s₃}undy∈β(s₃)_.

80 7 Modallogik

Da jedes Tableau höchstens endlich viele Transitionen enthält und jedes Tableau, auf das eine Regel angewendet wird, die es um eine Transition(s,s⁰)erweitert,s⁰ nicht enthält, schließen wir aus den Sätzen 7.4 (ii) und 7.5, dassjede erfüllbare Zustandsformel ein endliches Baummodell hat, das ist eine Kripke-Struktur mit endlicher

Im Dokument TECHNICAL REPORTS IN COMPUTER SCIENCE Technical University of Dortmund (Seite 65-80)