Dynamische Logik

(1)

Dynamische Logik

Simon Matthias Brodt

28.5.2008

(2)

Übersicht

1 Motivation – Programm Verifikation

2 PDL

3 Filtration und Entscheidbarkeit

4 Vollständigkeit

(3)

Problem – Fehlerhafte Programme

Ursache:

Unpräzise Anforderungen

„Intuitiv richtige“ Lösungen Unklare Begriffe

Korrektheit – Was bedeutet „korrekt“ bzw. „richtig“?

Verifikation – Wann ist ein bestimmtes Programm „korrekt“?

(4)

Korrektheits-Spezifikation

Was ist das?

Formale Beschreibung des gewünschten Verhaltens eines Programms

Im Falle einer Berechnung z.B. durch Ein-/Ausgabe-Relation Schwierigkeit

Zunächst keine präzisen, formalen Anforderungen vorhanden Müssen meist durch den Programmierer selbst definiert werden

(5)

Verifikation

Wann ist ein Programm korrekt?

Ein Programm ist korrekt bzgl. einer Spezifikation, wenn es sich wie erwartet verhält (die Spezifikation erfüllt)

Im Fall einer Ein-/Ausgabe-Relation: Ein Programm ist korrekt, falls es für jede passende Eingabe, die spezifizierte Ausgabe liefert

Schwierigkeit

Programmierung erfolgt meist nicht in einer anderen weniger formalen Sprache

Passen Programm und Spezifikation nicht zusammen stellt sich die Frage: Ist das Programm oder die Spezifikation falsch?

(6)

Nutzen

Klare Vorstellung dessen, was das Programm tun soll Entdecken unerwarteter Fälle

Isolation des Kernproblems erleichtert die Implementierung Häufig einfacher anzugebenWasein Programm tun soll, als zu sagenWiees das tun soll.

Die Verifikation ermöglicht es zu überprüfen, ob definiertes Ziel (Spezifikation) und vorgeschlagene Lösung (Programm) zusammenpassen

(7)

Syntax

Atomare Formeln: p∈Φ0

Atomare Programme: a∈Π₀

Formeln: φ∈Φ

Programme: α∈Π

φ::=p| ⊥ |φ₁→φ₂|[α]φ α::=a|α1;α2|α1∪α2|α^∗|φ?

(8)

Intuitive Bedeutung

[α]φ nachα,φ

α₁;α₂ führeα₁aus und danachα₂

α₁∪α₂ führe nicht-deterministischα₁ oderα₂ aus α^∗ wiederholeα endlich oft(≥0)

φ? Fahre fort fallsφ gilt, ansonsten scheitere

(9)

Abkürzungen

hαiφ ist ¬[α]¬φ

ifφthenαelseβ ist (φ?;α)∪(¬φ?;β) whileφdoα ist (φ?;α)^∗;¬φ?

repeatαuntilφ ist α; (¬φ?;α)^∗ skip ist >?

abort ist ⊥?

α⁰ ist skip

αⁿ⁺¹ ist (α;αⁿ)

(10)

Semantik für atomare Programme und Aussagen

Ein Kripke-Rahmen ist ein Paar

K = (K,m_K)

,wobeiK eine Menge von Zuständen darstellt undm_K eine Funktion, die jeder atomaren Aussage und jedem atomaren Programm eine Bedeutung zuweist, und zwar folgendermaßen:

m_K (p)⊆K, p∈Φ₀ m_K (a)⊆K×K, a∈Π0

(11)

Semantik für zusammengesetzte Programme und Aussagen

m_K (φ→ψ) := (K−m_K (φ))∪m_K (ψ) m_K (⊥) :=/0

m_K ([α]φ) :=K−(m_K (α)◦(K−m_K (φ)))

={u| ∀v∈K : falls (u,v)∈m_K (α) dannv∈m_K (φ)}

m_K (α;β) :=m_K (α)◦m_K (β)

={(u,v)| ∃w∈K : (u,w)∈m_K (α) und (w,v)∈m_K (β)}

(12)

Semantik für zusammengesetzte Programme und Aussagen

m_K (α∪β) :=m_K (α)∪m_K (β)

m_K (α^∗) :=m_K (α)^∗= ^[

n≥0

m_K (α)ⁿ m_K (φ?) :={(u,v) |u∈m_K (φ)}

(13)

Gültigkeit und Erfüllbarkeit

Schreibweise

K,uφ:⇔u∈m_K (φ)

Erfüllbarkeit

φ heißt erfüllbar inK^{, falls}K,uφ für einu∈K φ heißt erfüllbar, falls es einK gibt in demφ erfüllbar ist Gültigkeit

φ heißt gültig inK^{, falls}K,uφ für alleu∈K Geschrieben:K φ

φ heißt gültig, fallsφ in gültig ist in jedem Kripke-RahmenK^. Geschrieben:φ

(14)

Beispiel

Im Kripke-Rahmen

K = (K,m_K) K ={u,v,w} m_K (p) ={u,v}

m_K (a) ={(u,v),(u,w),(v,w),(w,v)}

gilt dann z.B.:

u∈m_K (hαi ¬p∧ hαip), (⇔uhαi ¬p∧ hαip) v∈m_K ([a]¬p), (⇔v[a]¬p) w∈m_K ([a]p), (⇔w [a]p)

(15)

Semantik von Abkürzungen

hαiφ

m_K (hαiφ) :=m_K (α)◦m_K (φ)

={u| ∃v∈K : (u,v)∈m_K (α) undv∈m_K (φ)}

whileφdoα

(u,v)∈m_K (whileφdoα)

⇔

∃u₀,u₁, . . . ,u_n,n≥0 mitu=u₀,v=u_n,

u_i∈m_K (φ),(u_i,u_i+1)∈m_K (α) für 0≤i <n,und u_n∈/m_K (φ)

(16)

Nonstandard-Kripke-Rahmen

EinNonstandard-Kripke-Rahmenist eine StrukturN = (N,m_N) mit allen Eigenschaften eines Standard-Kripke-Rahmens, mit folgender Ausnahme:

m_N (α^∗)ist lediglich eine reflexive und transitive Relation die m_N (α)umfasst und die PDL Axiome für^∗erfüllt.

Anders ausgedrück, wird die Definition m_N (α^∗) :=m_N (α)^∗= ^[

n≥0

m_N (α)ⁿ durch folgende (schwächere) Forderung ersetzt:

m_N ([α^∗]φ) =m_N (φ∧[α] [α^∗]φ)

(17)

Axiome

Axiome der Aussagenlogik . . .

Modallogische Axiome

[α] (φ→ψ)→([α]φ→[α]ψ) [α] (φ∧ψ)↔([α]φ∧[α]ψ)

(18)

Axiome

Spezielle Axiome

Alt: [α∪β]φ↔[α]φ∧[β]φ Comp: [α;β]φ↔[α] [β]φ

Test: [φ?]ψ↔(φ→ψ) Mix: φ∧[α] [α^∗]φ↔[α^∗]φ

Ind: φ∧[α^∗] (φ→[α]φ)→[α^∗]φ Schlussregeln

φ,φ→ψ`ψ φ`[alpha]

(19)

Induktions-Axiom

Ähnlichkeit zum Induktionsaktiom der Peano-Arithmetik φ∧[α^∗] (φ→[α]φ) →[α^∗]φ φ(0)∧ ∀n(φ(n)→φ(n+1)) → ∀nφ(n)

(20)

Korrektheit

Logische Folgerung

ψ heißt logische Folgerung ausΣ, fallsK Σ ⇒ K ψ. Geschrieben:Σψ

Korrektheit

Eine Schlussregelφ1, . . . ,φn`φheißtkorrekt, falls{φ1, . . . ,φn}φ Die vorherigen Axiome und Schlussregeln sind korrekt.

(21)

Filtration von Nonstandard-Kripke-Rahmen

Fischer-Ladner Abschluss

Wir definieren zwei Funktionen:

FL: Φ→2^Φ

FL: {[α]φ|α ∈Π,φ∈Φ} →2^Φ

FL(p) :={p},peine atomare Aussage FL(φ→ψ) :={φ→ψ} ∪Fl(φ)∪Fl(ψ)

FL(⊥) :={⊥}

FL([α]φ) :=FL([α]φ)∪FL(φ)

(22)

Fischer-Ladner Abschluss

FL([a]φ) :={[a]φ},aein atomares Programm FL([α∪β]φ) :={[α∪β]φ} ∪FL([α]φ)∪FL([β]φ)

FL([α;β]φ) :={[α;β]φ} ∪FL([α] [β]φ)∪FL([β]φ) FL([α^∗]φ) :={[α^∗]φ} ∪FL([α] [α^∗]φ)

FL([ψ?]φ) :={[ψ?]φ} ∪FL(ψ)

(23)

Fischer-Ladner Abschluss

Lemma

Fallsσ∈FL(φ), dann gilt FL(σ)⊆FL(φ).

Fallsσ∈FL([α]φ), dann gilt FL(σ)⊆FL([α]φ)∪FL(φ).

Lemma

Für jede Formelφ,|FL(φ)| ≤ |φ|. Für jede Formel[α]φ,

FL([α]φ) ≤ |α|

(24)

Filtration

Sei eine PDL Aussageφ und ein Kripke-RahmenK = (K,m_K) gegeben. Wir definieren einen neuen Rahmen, die „Filtration von K ^durch^FL(φ)“, folgendermaßen:

u≡v:⇔ Für alleψ∈FL(φ) (u∈m_K (ψ)⇔v∈m_K (ψ)) Informell:

Zwei Zuständeuundvfallen zusammen, falls sie sich durch eine Formel ausFL(φ)nicht unterscheiden lassen.

(25)

Filtration

[u] :={v|v≡u} K/FL(φ) :={[u]|u∈K}

m_K_/FL(φ₎(p) :={[u]|u∈m_K (p)},peine atomare Aussage

m_K_/FL(φ)(a) :={([u],[v]) |(u,v)∈m_K (a)},aein atomares Programm

m_K_/FL(φ₎wird induktiv auf zusammengesetzte Aussagen und Programme fortgesetzt.

(26)

Filtrations-Lemma

SeiK ein Kripke-Rahmen und seienu,v Zustände vonK^. Für alleψ ∈FL(φ),u∈m_K (ψ)⇔[u]∈m_K_/FL(φ₎(ψ) Für alle[α]ψ ∈FL(φ),

Falls(u,v)∈m_K (α)dann([u],[v])∈m_K_/_FL(_φ₎(α) Falls([u],[v])∈m_K_/_FL(_φ₎(α)undu∈m_K ([α]ψ), dann v∈m_K (ψ)

(27)

Satz von den Kleinen Modellen

Satz

Seiφ eine erfüllbare PDL Formel. Dann istφin einem Kripke-Rahmen mit höchstens2^|φ| Zuständen erfüllbar.

Beweis.

Wennφ erfüllbar ist, dann gibt es einen Kripke-RahmenK ^und einen Zustandu∈K ^mit^u∈m_K (φ).

Ist nunFL(φ)der Fischer-Ladner Abschluss vonφ, so gilt nach dem Filtrations-Lemma:[u]∈m_K_/FL(φ)(φ).

Desweiteren hatK/FL(φ)höchstens so viele Zustände wie es konsistente Teilmengen vonFL(φ)gibt. Nach einem

vorangegangenen Lemma sind das aber höchstens 2^|φ|viele.

(28)

Entscheidbarkeit

Satz

Das Erfüllbarkeitsproblem für PDL ist entscheidbar.

Beweis.

Die Aussage folgt unmittelbar aus dem vorangegangen Satz von den kleinen Modellen:

Es gibt nur endlich viele Kripke-Rahmen mit maximal 2^|φ^|vielen Zuständen und es ist möglich in polynomieller Zeit zu prüfen, ob eine gegebene Formel in einem bestimmten Rahmen und einem bestimmten Zustand erfüllt ist.

(29)

Filtration von Nonstandard-Kripke-Rahmen

Axiome und Regeln von PDL

Gelten auch in Nonstandard-Kripke-Rahmen

Alle in diesem System hergeleiteten Sätze und Regeln gelten ebenfalls auch über Nonstandard-Kripke-Rahmen

Filtration von Nonstandard-Kripke-Rahmen N /FL(φ)ist einStandard-Kripke-Rahmen höchstens 2^|φ|viele Zustände

Flitrations-Lemma

Gilt auch für Nonstandard-Kripke-Rahmen

Beweis muss nur in den Fällen die^∗betreffen angepasst werden

(30)

Konsistenz und maximal konsistente Formelmengen

Eine FormelmengeΣheißt konsistent, fallsΣ0⊥. Sie heißt maximal konsistent, falls für alle Formelnφ gilt:

φ∈ΣoderΣ∪ {φ} ` ⊥.

(31)

Konstruktion eines Nonstandard-Kripke-Rahmen

N = (N,m_N)

N:={maximal konsistente PDL Formelmengen} m_N (φ) :={s|φ∈s}

m_N (α) :={(s,t) | Für alleφ,falls[α]φ∈s,dannφ∈t}

Beachte:

Die Definitionen vonm_N (φ)undm_N (α)beziehen sich auf alleFormeln und Programme.

Die so definierte Struktur ist ein Nonstandard-Kripke-Rahmen.

(32)

Vollständigkeit von PDL

Satz

Fallsφ, dann`φ.

Beweis.

Es ist gleichbedeutend zu zeigen, dass es fallsφkonsistent ist einen erfüllenden Standard-Kripke-Rahmen gibt.

Daφkonsitent ist gibt es eine maximal konsitente Formelmengeu dieφenthält.uist ein Zustand des zuvor konstruierten

Nonstandard-Kripke-RahmenN^. Das Filtrations-Lemma (für

Nonstandard-Standard-Kripke-Rahmen) liefert uns, dassφ im Zustand[u]des endlichenStandard-Kripke-RahmensN/FL(φ)

(33)

K,u^p :⇔ u∈m_K (p) ,fürp∈Φ₀ K,uφ→ψ :⇔ K,uφ⇒K,uψ

K,u2⊥

K,u[α]φ :⇔ ∀v∈K : falls(u,v)∈m_K (α)dannK,vφ