Mathematische Logik SS 2009
Prof. Dr. Erich Grädel
c b n d
This work is licensed under:
http://creativecommons.org/licenses/by-nc-nd/3.0/de/
Dieses Werk ist lizensiert uter:
http://creativecommons.org/licenses/by-nc-nd/3.0/de/
© 2009 Mathematische Grundlagen der Informatik, RWTH Aachen.
http://www.logic.rwth-aachen.de
Inhaltsverzeichnis
1 Aussagenlogik 1
1.1 Syntax und Semantik der Aussagenlogik . . . 1
1.2 Aussagenlogik und Boolesche Funktionen . . . 7
1.3 Horn-Formeln . . . 12
1.4 Der Kompaktheitssatz der Aussagenlogik . . . 14
1.5 Aussagenlogische Resolution . . . 21
1.6 Der aussagenlogische Sequenzenkalkül . . . 27
2 Syntax und Semantik der Prädikatenlogik 37 2.1 Strukturen . . . 38
2.2 Ein Zoo von Strukturen . . . 40
2.3 Syntax der Prädikatenlogik . . . 45
2.4 Semantik der Prädikatenlogik . . . 49
2.5 Normalformen . . . 53
2.6 Spieltheoretische Semantik . . . 61
3 Modallogik, temporale Logiken und monadische Logik 69 3.1 Syntax und Semantik der Modallogik . . . 69
3.2 Bisimulation . . . 73
3.3 Abwicklungen und Baummodell-Eigenschaft . . . 78
3.4 Temporale Logiken . . . 79
3.5 Monadische Logik . . . 85
4 Definierbarkeit in der Prädikatenlogik 87 4.1 Definierbarkeit . . . 87
4.2 Das Isomorphielemma . . . 91
4.3 Theorien und elementar äquivalente Strukturen . . . 95
4.4 Ehrenfeucht-Fraïssé-Spiele . . . 96
5 Vollständigkeitsatz, Kompaktheitssatz, Unentscheidbarkeit 105
5.1 Der Sequenzenkalkül . . . 105
5.2 Der Vollständigkeitssatz . . . 109
5.3 Der Beweis des Vollständigkeitssatzes . . . 110
5.4 Der Kompaktheitssatz . . . 119
5.5 Unentscheidbarkeit der Prädikatenlogik . . . 125
3 Modallogik, temporale Logiken und monadische Logik
Modale und temporale Logiken sind geeignete logische Systeme, um Aussagen über Transitionssysteme zu formalisieren. Sie bieten ein gutes Gleichgewicht zwischen vernünftiger Ausdrucksstärke und günstigen algorithmischen Eigenschaften. Dies macht sie für Anwendungen in der Informatik sehr interessant.
3.1 Syntax und Semantik der Modallogik
Modallogiken formalisieren Aussagen über Transitionssysteme von einer internen, lokalen Perspektive her. Die Modallogik erweitert die Aussagenlogik um einstellige Modaloperatoren, mit welchen man aus einer Formelψneue Formeln der Form⟨a⟩ψbzw.[a]ψbildet, für allea aus einer Menge vonAktionen.
Definition 3.1. Die Menge ML der modallogischen Formeln (mit Ak- tionen aus Aund atomaren EigenschaftenPi für i ∈ I) ist induktiv definiert wie folgt:
• Alle aussagenlogischen Formeln mit AussagenvariablenPigehören zu ML.
• Wennψ,ϕ∈ML, dann auch¬ψ,(ψ∨ϕ),(ψ∧ϕ)und(ψ→ϕ).
• Wennψ∈ML unda∈ A, dann gehören auch⟨a⟩ψund[a]ψzu ML.
Notation. Wenn nur eine Aktionavorhanden ist, also|A|=1, dann schreiben wir♦ψ(sprich „Diamondψ“ oder „möglicherweiseψ“) und ψ(sprich „Boxψ“ oder „notwendigerweiseψ“) anstelle von⟨a⟩ψund [a]ψ.
3.1 Syntax und Semantik der Modallogik
Definition 3.2. EinTransitionssystemoder eineKripkestrukturmit Aktio- nen ausAund atomaren Eigenschaften{Pi:i∈I}ist eine Struktur
K= (V,(Ea)a∈A,(Pi)i∈I)
mit Universum V (dessen Elemente Zustände oder Welten genannt werden), zweistelligen RelationenEa⊆V×V(a∈A)(welche Transi- tionen zwischen Zuständen beschreiben) und einstelligen Relationen (Eigenschaften der Zustände)Pi⊆V(i∈ I). Statt(u,v)∈Easchreiben wir oft auchu−→a v.
Man kann sich ein Transitionssystem als einen Graphen mit be- schrifteten Knoten und Kanten vorstellen. Die Elemente des Universums sind Knoten, die einstelligen Relationen entsprechen den Beschriftun- gen der Knoten und die zweistelligen Relationen den beschrifteten Kanten.
Definition 3.3. Sei K = (V,(Ea)a∈A,(Pi)i∈I) ein Transitionssystem, ψ ∈ML eine Formel undvein Zustand vonK. DieModellbeziehung K,v |= ψ (d.h. ψ gilt im Zustand v von K) ist induktiv wie folgt definiert:
(1)K,v|=Pi ⇐⇒ v∈Pi.
(2) Die Bedeutungen von¬ψ,(ψ∧ϕ),(ψ∨ϕ)und(ψ→ϕ)sind wie üblich.
(3)K,v|=⟨a⟩ψ, wenn einwexistiert mit(v,w)∈EaundK,w|=ψ.
(4)K,v|= [a]ψ, wenn für allewmit(v,w)∈Eagilt, dassK,w|=ψ.
Wie schon eingangs erwähnt, haben wir hier im Gegensatz zu FO eine lokale Sichtweise der Modellbeziehung. Von einem bestimmten Zustandvausgehend, wird eine Formelψan diesemvevaluiert. Die Modaloperatoren⟨a⟩und[a]können als eingeschränkte Varianten der Quantoren∃und∀(Quantifizierung entlang von Transitionen) gesehen werden.
Wir können auch jeder Formelψund jedem TransitionssystemK die Extension
JψKK:={v:K,v|=ψ}
70
3 Modallogik, temporale Logiken und monadische Logik zuordnen, also die Menge der Zuständev, an denenψinKgilt. Die Modellbeziehung ist dann durch folgende Regeln gegeben (welche natürlich zu den in Definition 3.3 gegeben Regeln äquivalent sind):
(1)JPiKK=Pi. (2)J¬ψKK :=V\JψKK
Jψ∧ϕKK:=JψKK∩JϕKK Jψ∨ϕKK:=JψKK∪JϕKK Jψ→ϕKK:= (V\JψKK)∪JϕKK. (3)J⟨a⟩ψKK:={v:vEa∩JψKK̸=∅}. (4)J[a]ψKK:={v:vEa⊆JψKK}.
Dabei istvEa:={w:(v,w)∈Ea}die Menge allera-Nachfolger vonv.
Einbettung derModallogik in diePrädikatenlogik. Formal ist die Modallogik eine Erweiterung der Aussagenlogik. Oft ist es aber weitaus zweckmäßiger, ML in die Prädikatenlogik zu übersetzen und sie damit als Fragment von FO aufzufassen. Dies liegt schon deshalb nahe, weil die Modallogik über Transitionssysteme, also Strukturen, spricht.
Die folgende Übersetzung zeigt, dass man dabei mit FO-Formeln auskommt, die nur zwei Variablenxundy(diese allerdings mehrfach quantifiziert) verwenden.
Definition 3.4. FO2, dasZwei-Variablen-Fragmentvon FO, ist die Menge aller relationalen FO-Formeln, welche nur zwei Variablen x und y enthalten.
Beispiel3.5. Wir wollen ausdrücken, dass es (in einem gegebenen Transi- tionssystem) vom aktuellen Zustandxaus einena-Pfad der Länge 5 zu einem Zustand gibt, der in der MengePliegt. In ML wird dies durch die Formel ⟨a⟩⟨a⟩⟨a⟩⟨a⟩⟨a⟩P formalisiert. Die naheliegendste Weise, dieselbe Aussage in FO auszudrücken, führt zu der Formel
ψ(x):=∃y1· · · ∃y5(Eaxy1∧^4
i=1Eayiyi+1∧Py5),
71
3.1 Syntax und Semantik der Modallogik
welche sechs Variablen verwendet. Wir können aber denselben Sachver- halt auch mit nur zwei Variablen ausdrücken durch die Formel
ψ′(x):=∃y(Exy∧ ∃x(Eyx∧ ∃y(Exy∧ ∃x(Eyx∧ ∃y(Exy∧Py))))). Satz 3.6. Zu jeder Formelψ∈ML gibt es eine Formelψ∗(x)in FO2, so dass für alle TransitionssystemeKund alle ZuständevvonKgilt:
K,v|=ψ ⇐⇒ K |=ψ∗(v).
Beweis. Wir geben eine Tabelle an, nach der jede Formelψ∈ ML in- duktiv in eine Formelψ∗(x)∈FO2übersetzt werden kann. Mitψ∗(y) sei hier die Formel bezeichnet, die man ausψ∗(x)erhält indem man alle (freien und gebundenen) Vorkommen vonxdurchyersetzt, und umgekehrt:
Pi7→Pix
¬ψ7→ ¬ψ∗(x)
(ψ◦ϕ)7→(ψ∗(x)◦ϕ∗(x))für◦ ∈ {∧,∨,→}
⟨a⟩ψ7→ ∃y(Eaxy∧ψ∗(y))
[a]ψ7→ ∀y(Eaxy→ψ∗(y)) q.e.d.
Erfüllbarkeit, Gültigkeit, Äquivalenz. Analog zu Aussagenlogik und Prädikatenlogik definieren wir: Eine Formelψ∈ML isterfüllbar, wenn ein TransitionssystemKund ein ZustandvvonKexistiert, so dassK,v|=ψ. Sie istgültig, wennK,v|=ψfür alleKund allev. Zwei Formelnψ,ϕsindäquivalent, kurzψ≡ϕ, wennJψKK=JϕKKfür alle zuψundϕpassenden TransitionssystemeK.
Beispiel3.7. Für alle Formelnψ∈ML und alle Aktionenagilt:
(1)⟨a⟩ψ→[a]ψist erfüllbar, aber nicht gültig.
(2)[a](ψ→ϕ)→([a]ψ→[a]ϕ)ist gültig.
(3)[a]ψ≡ ¬⟨a⟩¬ψ(Dualität von⟨a⟩und[a]).
3 Modallogik, temporale Logiken und monadische Logik Negationsnormalform. Wie für Aussagenlogik und Prädikatenlogik gibt es auch für die Modallogik Normalformen. Nützlich ist insbeson- dere die Negationsnormalform. Jede Formelψ ∈ ML ist äquivalent zu einer Formel, in der die Negation nur auf atomare Eigenschaften Pi angewandt wird. Dies folgt unmittelbar aus den de Morganschen Gesetzen und der Dualität von⟨a⟩und[a].
Übung 3.1. Gilt für ML das Analogon des Satzes über die Pränex- Normalform?
3.2 Bisimulation
Einer der wichtigsten Begriffe bei der Analyse von Modallogiken ist die Bisimulation. Mit ihr wollen wir die Ununterscheidbarkeit von Kripkestrukturen bezüglich Formeln aus ML untersuchen.
Definition 3.8. EineBisimulationzwischen zwei Transitionssystemen K= (V,(Ea)a∈A,(Pi)i∈I)undK′= (V′,(E′a)a∈A,(Pi′)i∈I)ist eine Rela- tionZ⊆V×V′, so dass für alle(v,v′)∈Zgilt:
(1)v∈Pi ⇐⇒ v′∈Pi′für allei∈I.
(2)Hin:Für allea∈ A, w∈Vmitv−→a wexistiert einw′ ∈V′mit v′−→a w′und es ist(w,w′)∈Z.
Her:Für allea∈A, w′∈V′mitv′−→a w′existiert einw∈Vmit v−→a wund es ist(w,w′)∈Z.
Beispiel3.9. Z={(v,v′),(w1,w′),(w2,w′)}ist eine Bisimulation zwi- schen den beiden folgenden Transitionssystemen.
r r
r
✠
❅❅
❅
w1 ❘ w2
v
Q Q
P
ru′ ✲rv′ ✲rw′
P Q
Definition 3.10. SeienK,K′ Kripkestrukturen und u ∈ V, u′ ∈ V′. (K,u)und(K′,u′)sindbisimilar(kurz:K,u∼ K′,u′), wenn eine Bisi- mulationZzwischenKundK′existiert, so dass(u,u′)∈Z.
3.2 Bisimulation
DasBisimulationsspiel. Die Bisimililarität zweier Transitionssyste- me kann auch auf spieltheoretische Weise durch ein Bisimulationsspiel beschrieben werden. Das Spiel wird von zwei Spielern auf zwei Kripke- strukturenKundK′, auf denen sich je ein Spielstein befindet, gespielt.
In der Anfangsposition liegen die Steine auf u bzw. u′. Die Spieler ziehen nun abwechselnd nach folgenden Regeln:
Spieler I bewegt den Stein inKoderK′entlang einer Transition zu einem neuem Zustand: von ventlangv −→a wzuwoder vonv′ entlangv′−→a w′zuw′. Spielerin II antwortet mit einer entsprechenden Bewegung in der anderen Struktur:v′−→a w′oderv−→a w. Wenn ein Spieler nicht ziehen kann, verliert er. D.h. Spieler I verliert, wenn er zu einem Knoten kommt, von dem keine Transitionen mehr wegführen und Spielerin II verliert, wenn sie nicht mehr mit der entsprechenden Aktion antworten kann. Am Anfang und nach jedem Zug wird überprüft, ob für die aktuelle Positionv,v′gilt:v∈ Pi ⇐⇒ v′∈ Pi′für allei ∈ I.
Wenn nicht, dann hat I gewonnen, ansonsten geht das Spiel weiter. II gewinnt, wenn sie nie verliert.
Uns interessieren nicht primär einzelne Partien, sondern ob einer der Spieler eine Gewinnstrategie hat. Wir sagen, II gewinnt das Bisi- mulationsspiel auf(K,K′)von(u,u′)aus, wenn es eine Strategie für II gibt, mit der sie nie verliert, was auch immer I zieht. Eine derartige Strategie entspricht genau einer Bisimulation. Also gilt:
Lemma 3.11. II gewinnt genau dann das Bisimulationsspiel aufK,K′ von(u,u′), wennK,u∼ K′,u′.
Wir können die Analyse noch etwas verfeinern, wenn wir die An- zahl der Züge in einem Bisimulationsspiel in Betracht ziehen. Wir sagen, II gewinnt dasn-Züge-Bisimulationsspiel, wenn sie eine Strategie hat, umnZüge lang zu spielen ohne zu verlieren. Analog dazu betrachten wir den Begriff dern-Bisimilarität, kurz ∼n. Es seienKundK′ zwei Kripkestrukturen mit Zuständenvbzw.v′.
•K,v∼0K′,v′gdw. für allei∈Igilt:v∈Pi ⇐⇒ v′∈Pi′.
•K,v∼n+1K′,v′genau dann, wenn:
–K,v∼nK′,v′
74
3 Modallogik, temporale Logiken und monadische Logik – für allew mitv −→a wexistiert ein w′ mit v′ −→a w′ und
K,w∼nK′,w′
– für allew′ mitv′ −→a w′ existiert ein wmit v −→a w und K,w∼nK′,w′.
Es gilt für allen ∈N, dass II genau dann dasn-Züge-Bisimula- tionsspiel von(v,v′)aus gewinnt, wennK,v∼nK′,v′gilt.
Satz 3.12. Für alle KripkestrukturenK,K′mit Zuständenvbzw.v′gilt:
WennK,v∼ K,v, dann istK,v∼n K′,v′für allen. Die Umkehrung gilt jedoch nicht: es gibtK,vundK,v′, so dass K,v ∼n K′,v′ aber K,v̸∼ K′,v′.
Beweis. Die erste Behauptung folgt unmittelbar aus den Definitionen.
Für die zweite Behauptung betrachten wir folgende Kripkestrukturen:
K1:✑✰q ✑✁qv
✁✁✁☛
✁✁☛
q
2 . . . .q .
◗◗s
◗◗s q
q...q
◗◗sqn
K′1:✑✰q ✑✁qv′
✁✁✁☛
✁✁☛
q
2 . . . .q .
◗◗s
◗◗s q
q...q
◗◗sqn
✲ ✲q q...
Kbesitzt vonvaus für jedesn∈Neinen Pfad der Längen.K′ setzt sich aus K und einem unendlichen Pfad, der vonv′ ausgeht, zusammen. Es istK,v ∼n K′,v′ für alle n ∈ N, aber K,v K′,v′. Spielt nämlich I entlang des unendlichen Pfades vonK′, dann muss II einen endlichen Pfad inKauswählen und auf diesem ziehen. Ist eine bestimmte Anzahlnvon Zügen vor dem Spiel festgelegt worden, so kann II immer einen Pfad finden, der länger ist alsnund somitn-Züge spielen ohne zu verlieren. Ist keine feste Zugzahl ausgemacht worden, so verliert II nach endlich vielen Zügen. q.e.d.
Bisimulationsinvarianz von modallogischenFormeln. Die grund- legende Bedeutung von Bisimulationen kommt daher, dass modallo- gische Formeln bisimilare Zustände nicht unterscheiden können. Eine
75
3.2 Bisimulation
verfeinerte Analyse zieht auch die Modaltiefe, d.h. die maximale Schach- telungstiefe von Modaloperatoren in einer Formel, in Betracht.
Definition 3.13. DieModaltiefeeiner Formelψ∈ML ist induktiv defi- niert durch:
(1) md(ψ) =0 für aussagenlogische Formelnψ, (2) md(¬ψ) =md(ψ),
(3) md(ψ◦ϕ) =max(md(ψ), md(ϕ))für◦ ∈ {∧,∨,→}, (4) md(⟨a⟩ψ) =md([a]ψ) =md(ψ) +1.
Definition 3.14. Seien K und K′ zwei Kripkestrukturen und v ∈ K, v′∈ K′.
(1)K,v≡MLK′,v′, wenn für alleψ∈ML gilt:
K,v|=ψ ⇐⇒ K′,v′|=ψ.
(2)K,v≡nMLK′,v′, wenn für alleψ∈ML mit md(ψ)≤ngilt:
K,v|=ψ ⇐⇒ K′,v′|=ψ.
Satz 3.15. Für KripkestrukturenK, K′undu∈ K,u′∈ K′gilt:
(1) AusK,u∼ K′,u′folgtK,u≡MLK′,u′; (2) AusK,u∼nK′,u′folgtK,u≡nMLK′,u′.
Beweis. Wir beweisen nur die erste Aussage, der Beweis der zweiten ist analog (per Induktion nachn).
SeiZeine Bisimulation zwischenKundK′. Wir behaupten, dass für alleψ∈ML gilt:
K,v|=ψ ⇐⇒ K′,v′|=ψfür alle(v,v′)∈Z.
Wir beweisen dies per Induktion über den Formelaufbau vonψ.
Für ψ = Pi ist die Behauptung nach Definition einer Bisimulation erfüllt. Für die Fälleψ = ¬ϕ, ψ= (ϕ∨ϑ)und ψ= (ϕ∧ϑ)ist der Induktionsschritt offensichtlich: Wenn die Teilformeln vonψauf(K,v) und(K,v′) denselben Wahrheitswert haben, dann auchψselbst. Sei ψ=⟨a⟩ϕ. AusK,v|=⟨a⟩ϕfolgtK,w|=ϕfür einw∈ Kmitv−→a w.
Nach der Hin-Eigenschaft von Zexistiert einw′ ∈ K′mitv′ −→a w′ und(w,w′)∈Z. Nach Induktionsvoraussetzung giltK′,w′|=ϕ, also K′,v′ |=⟨a⟩ϕ. Die Umkehrung folgt analog mit der Her-Eigenschaft.
3 Modallogik, temporale Logiken und monadische Logik ψ = [a]ϕbrauchen wir wegen der Dualität⟨a⟩ϕ ≡ ¬[a]¬ϕnicht zu
betrachten. q.e.d.
Die Aussage (1) nennt man dieBisimulationsinvarianz der Modallogik:
WennK,v|=ψundK,v∼ K′,v′, dann auchK′,v′|=ψ.
Die Umkehrung von (1) gilt im Allgemeinennicht. Um dies einzusehen, betrachten wir wieder die KripkestrukturenK,K′aus dem Beweis von Satz 3.12. DaK,v ∼n K′,v′ gilt K,v ≡nML K′,v′ für allen ∈ Nund daherK,v≡ML K′,v′, obwohlK,v̸∼ K′,v′. Es gibt jedoch wichtige Spezialfälle, in denen die Umkehrung doch gilt.
Definition 3.16. Ein Transitionssystem istendlich verzweigt, wenn für alle Zuständevund alle Aktionenadie MengevEa:={w:(v,w)∈Ea} der a-Nachfolger von vendlich ist. Insbesondere ist natürlich jedes endliche Transitionssystem endlich verzweigt.
Satz 3.17. SeienK,K′endlich verzweigte Transitionssysteme. Dann gilt K,u′∼ K′,u′genau dann, wennK,u≡MLK′,u′gilt.
Beweis. SeiK,u≡MLK′,u′. Wir setzenZ:={(v,v′):K,v≡MLK′,v′}. Dabei folgt sofort aus der VoraussetzungK,u≡MLK′,u′, dass(u,u′)∈ Z. Wir zeigen, dassZeine Bisimulation zwischenKundK′ist. Dann istK,u∼ K′,u′.
• Wenn(v,v′)∈Z, dann giltv∈Pi ⇐⇒ v′∈Pi′, denn sonst wäre K,v|=PiundK′,v′|=¬Pi(oder umgekehrt).
•Hin:Sei(v,v′)∈Z, d.h.K,v≡MLK′,v′, undv−→a w. Wir setzen v′Ea:={z′:v′−→a z′}und
Xw:={z′∈v′Ea:K,w̸≡MLK′,z′}.
Es reicht zu zeigen, dass einw′∈v′Ea\Xwexistiert, denn dann ist(w,w′)∈Zund die Hin-Eigenschaft erfüllt. Dazu wählen wir für jedes z′ ∈ Xw eine Formel ϕz′ ∈ ML, so dass K,w |= ϕz′
aber K′,z′ |= ¬ϕz′ und setzen ϕ := V{ϕz′ : z′ ∈ Xw}. Da K′ endlich verzweigt ist, gibt es nur endlich vielez′∈Xw, es ist also ϕ∈ML. Es giltK,w|=ϕ, alsoK,v|=⟨a⟩ϕ. DaK,v≡MLK′,v′, ist
3.3 Abwicklungen und Baummodell-Eigenschaft
auchK′,v′ |=⟨a⟩ϕ, d.h. es existiert einw′ ∈v′EamitK′,w′|=ϕ.
Dann kann aberw′nicht Element vonXwsein, denn dann wäre K′,w′|=¬ϕw′und daherK′,w′|=¬ϕ.
• Der Beweis der Her-Eigenschaft verläuft analog mit vertauschten
Rollen vonK,vundK′,v′. q.e.d.
3.3 Abwicklungen und Baummodell-Eigenschaft
Eine Menge von Formeln (irgendeiner Logik, etwa der Modallogik oder der Prädikatenlogik), welche auf Transitionssystemen interpretiert wird, hat dieBaummodell-Eigenschaft(BME), wenn jede erfüllbare Formel inΦ ein Modell hat, welches ein Baum ist.
Definition 3.18. Ein TransitionssystemK= (V,(Ea)a∈A,(Pi)i∈I)mit einem ausgezeichneten Knotenwist einBaum, wenn
(1)Ea∩Eb=∅für alle Aktionena̸=b,
(2) für E = Sa∈AEa der Graph (V,E) ein (gerichteter) Baum mit Wurzelwim Sinn der Graphentheorie ist (siehe auch Kapitel 1.4, Lemma von König).
Wir werden zeigen, dass die Modallogik die Baumodell-Eigenschaft besitzt. Dazu betrachten wirAbwicklungenvon Transitionssystemen. Die Abwicklung vonK vom Zustandv aus besteht aus allen Pfaden in K, die beivbeginnen. Dabei wird jeder Pfad als ein separates Objekt angesehen, d.h. selbst wenn sich zwei Pfade überschneiden, wird jeder zu einem neuen Zustand in der abgewickelten StrukturT, und jeder Zustand ausK, der auf einem Pfad vonvaus erreicht wird, wird neu zu der Abwicklung hinzugefügt, unabhängig davon, ob er schon einmal erreicht wurde. Schleifen inKentsprechen also unendlichen Wegen in der Abwicklung. Formal werden Abwicklungen wie folgt definiert.
Definition 3.19. SeiK= (VK,(EaK)a∈A,(PiK)i∈I)eine Kripkestruktur undv ∈ VK. DieAbwicklung vonKvon v ausist die Kripkestruktur TK,v= (VT,(ETa)a∈A,(PiT)i∈I)mit
VT ={v¯=v0a0v1a1v2. . .vm−1am−1vm:m∈N,
v0=v, vi∈VK, ai∈A, (vi,vi+1)∈EaKi für allei<m},
78
3 Modallogik, temporale Logiken und monadische Logik ETa ={(v, ¯¯ w)∈VT ×VT : ¯w=vaw¯ für einw∈VK}und PiT ={v¯=v0a0. . .vm∈VT :vm∈PiK}
Mit End(v¯) bezeichnen wir den letzten Knoten auf dem Pfad ¯v.
Damit ist ¯v∈PiT ⇐⇒ End(v¯)∈PiK. Lemma 3.20. Es giltK,v∼ TK,v,v.
Beweis. Z:={(w, ¯w)∈VK×VT : End(w¯) =w}ist eine Bisimulation vonKnachTK,vmit(v,v)∈Z. q.e.d.
Satz 3.21. ML hat die Baummodell-Eigenschaft.
Beweis. Sei ψ eine beliebige erfüllbare Formel aus ML. Es gibt also ein Modell K,v |= ψ. Sei T := TK,v die Abwicklung von K,v. Da K,v∼ T,vgilt nach der Bisimulationsinvarianz der Modallogik auch T,v|=ψ. Also hatψein Baummodell. q.e.d.
Dasselbe Argument zeigt, dassjedeKlasse von bisimulationsinvari- anten Formeln die Baummodell-Eigenschaft besitzt.
3.4 Temporale Logiken
ML ist keine besonders ausdrucksstarke Logik. Eine wesentliche Schwä- che ist, dass der Wahrheitswert einer an einem Zustandvausgewerteten Formel nur von einer beschränkten Umgebung vonvabhängen kann.
Zu den wichtigsten Aussagen in einer Reihe von Anwendungen (insbe- sondere in der Verifikation) gehörenErreichbarkeitsaussagen(ein „guter“
Zustand wird auf jeden Fall irgendwann erreicht) oderSicherheitsbe- dingungen(kein schlechter Zustand ist erreichbar). Erreichbarkeit ist aber nicht in ML formalisierbar, da jede ML-Formelψvom Zustand, an dem sie ausgewertet wird, höchstens md(ψ)viele Schritte weit in das Transitionssystem „hineinsehen“ kann. Wir werden später sehen, dass Erreichbarkeitsaussagen in Transitionssystemen auch in FO nicht formalisierbar sind.
Es gibt verschiedene Möglichkeiten, solche Mängel von Logiken zu beseitigen, indem Rekursionsmechanismen hinzugefügt werden. Die
79
3.4 Temporale Logiken
eleganteste Lösung sind sogenannteFixpunktlogiken, welche so definiert sind, dass kleinste und größte Fixpunkte von definierbaren monotonen Operationen wieder definierbar sind. Fixpunktlogiken sind allerdings relativ kompliziert und sprengen den Rahmen dieser Vorlesung. Wir behandeln stattdessen die temporalen Logiken LTL („linear time tem- poral logic“) und CTL („computation tree logic“ oder auch „branching time temporal logic“), welche die Modallogik ML erweitern und in der (Hardware-)Verifikation sehr populär sind.
Syntax und Semantik von LTL
Die temporale Logik LTL wird auf endlichen oder unendlichen Wörtern oder Pfaden ausgewertet, also auf Folgen v0v1. . .vn−1 bzw.v0v1. . . mit atomaren Aussagen Pi. Die Idee von LTL ist, aussagenlogische Formeln über den atomaren AussagenPidurch temporale Operatoren (wie „next“, „until“, „eventually“ und „globally“) zu erweitern.
Definition 3.22(Syntax von LTL). Die Formeln von LTL sind induktiv wie folgt definiert:
• Alle aussagenlogischen Formeln über{Pi:i∈I}gehören zu LTL.
• LTL ist abgeschlossen unter den Booleschen Operatoren∧, ∨,→ und¬.
• Wennψ,ϕ∈LTL, dann sind auch die Ausdrücke Xψund(ψUϕ) Formeln von LTL.
Die Intuition bei der Modellbeziehung ist folgende: Wie die Mo- dallogik ML wird auch LTL an einzelnen Punkten ausgewertet. Ob eine Formelψan einem Punktvigilt, kurzW,vi|=ψ, hängt von dem Teilwortvivi+1. . . ab, welches beivibeginnt. Der Ausdruck Xψ(„next ψ“) bedeutet, dass am unmittelbar folgenden Elementvi+1die Formelψ gilt, und der AusdruckψUϕ(„ψuntilϕ“) besagt, dass an irgendeinem
„späteren“ Elementvn ϕgilt und davor immerψwahr ist:
z }|ψ {
✲ ✲ ✲
r r r . . . r r
vi vi+1 vi+2 vn−1
✲ vn
ϕ
3 Modallogik, temporale Logiken und monadische Logik Definition 3.23 (Semantik von LTL). Sei W eine endliche oder un- endliche Folge von Elementenv0. . .vn−1oderv0v1. . . und atomaren RelationenPifüri∈I. Die Bedeutung der FormelnPiund der aussa- genlogischen Junktoren ist auf die übliche Weise definiert. Außerdem gilt:
•W,vi|=Xψgenau dann, wennvinicht das letzte Element vonW ist undW,vi+1|=ψ;
•W,vi|= (ψUϕ), wenn einn≥iexistiert, so dassW,vn|=ϕund W,vm|=ψfür allemmiti≤m<n.
Notation. Zwei wichtige Abkürzungen sind:
Fψ:= (1 Uψ) (irgendwann wirdψgelten) Gψ:=¬F¬ψ (immer wirdψgelten) Beispiel3.24.
• In LTL kann man ausdrücken, dass in einem unendlichen Wort Weine Formelϕan unendlichen vielen Positionen gilt. In der Tat besagt G Fϕ, dass für jedesieinj≥iexistiert, so dassW,vj|=ϕ, und dies ist genau dann der Fall, wenn ϕ an unendlich vielen Positionenvjgilt.
• Entsprechend gilt die Formel F G¬ϕausgewertet über einem un- endlichen Wort W genau dann, wenn ϕ nur an endlich vielen Positionen gilt.
• Die Formel G(ϕ→(ϕUψ))besagt, dass zu jeder Position an derϕ gilt eine spätere Position existiert an derψgilt, und dass zwischen beiden Positionen immerϕgilt.
Wir haben gesehen, dass die Modallogik ML in die Prädikatenlogik FO eingebettet werden kann. Gilt dies auch für LTL? Dies hängt davon ab, wie wir Wörter bzw. Pfade als Strukturen formalisieren; anders ausgedrückt, ob wir FO-Formeln betrachten, welche die Ordnungsrela- tion auf den Elementen benutzen, oder ob nur die Nachfolgerrelation zur Verfügung steht. Stellen wir (endliche oder unendliche) Wörter als Strukturen der Form
W= (V,<,(Pi)i∈I)
3.4 Temporale Logiken
mit UniversumV=ω(die Menge der natürlichen Zahlen) oderV= {0, . . . ,n−1}sowie der üblichen linearen Ordnung < aufVund mit einstelligen RelationenPi⊆Vdar, so lässt sich LTL in FO einbetten.
Satz 3.25. Zu jeder LTL-Formelψexistiert eine FO-Formelψ∗(x)der Signatur{<} ∪ {Pi:i∈I}, so dass für alleW,vgilt:
W,v|=ψ ⇐⇒ W |=ψ∗(v).
Beweis. Der Beweis ist analog zum Beweis der Einbettung von ML in FO, mit folgenden Änderungen: Formeln der Formψ=Xϕwerden übersetzt in
ψ∗(x):=∃y(x<y∧ ¬∃z(x<z∧z<y)∧ϕ∗(y)), und Formeln der Formψ= (ϕUϑ)werden übersetzt in
ψ∗(x):=∃y(x<y∧ϑ∗(y)∧ ∀z((x≤z∧z<y)→ϕ∗(z))). q.e.d.
Wenn aber auf dem UniversumVstatt der Ordnungsrelation<nur die NachfolgerrelationE={(vi,vj)∈V×V:j=i+1}zur Verfügung steht, dann kann man mit FO-Formeln nicht alle LTL-Eigenschaften ausdrücken. Wir werden mit den im nächsten Kapitel entwickelten Methoden beweisen können, dass bereits Formeln der Form G FPkeine äquivalente FO-Formel ohne Ordnungsrelation zulassen.
Temporale Logiken auf Transitionssystemen. In vielen Anwendungen wird LTL (und andere temporale Logiken) zur Verifikation von Eigenschaften von Transitionssystemen verwendet. Wir betrachten dabei Transitions- systeme mit nur einer Transitionsrelation, d.h. Strukturen der Form K = (V,E,(Pi)i∈I)und setzen der Einfachheit halber voraus, dass E nicht terminiert, d.h. zu jedemu∈Vexistiert einv, so dass(u,v)∈E.
Für eine LTL-Formelψsagen wir, dassψam ZustandvvonKgilt, kurz K,v|=ψ, wennψaufallenunendlichen Pfaden durchK, welche beiv beginnen, gilt.
82
3 Modallogik, temporale Logiken und monadische Logik
Syntax und Semantik von CTL
Eine andere Möglichkeit, Aussagen über das mögliche Verhalten eines Transitionssystem zu machen, führt auf die „branching time logic“ CTL.
Die Idee von CTL ist, ML um Pfadquantoren und temporale Operatoren auf Pfaden zu erweitern.
Definition 3.26(Syntax von CTL). Die Formeln von CTL sind induktiv definiert wie folgt.
• Alle aussagenlogischen Formeln über{Pi:i∈I}gehören zu CTL.
• CTL ist abgeschlossen unter den Booleschen Operatoren∧, ∨,→ und¬.
• Wennψ,ϕ ∈ CTL, dann sind auch die Ausdrücke E Xψ, A Xψ, E(ψUϕ)und A(ψUϕ)Formeln von CTL.
Die Intuition bei der Modellbeziehung ist folgende: Sei K ein Transitionssystem undvein Zustand vonK. Dann quantifizieren E und A über unendliche Pfadev=v0v1v2. . . inK, welche beivbeginnen und auf denen die temporalen Operatoren dann ausgewertet werden.
Definition 3.27(Semantik von CTL). SeiK= (V,E,(Pi)i∈I)eine Krip- kestruktur undv∈V. Dann gilt:
• E Xψ:≡♦ψ;
• A Xψ:≡ψ;
• Es giltK,v|=E(ψUϕ), wenn ein Pfadv0v1v2. . . mitv=v0und einn≥0 existiert, so dassK,vn|= ϕundK,vm |=ψfür allem mit 0≤m<n.
• Es gilt K,v |= A(ψUϕ), wenn für alle unendlichen Pfade v0v1v2. . . mit v0 = v ein n ≥ 0 existiert, so dassK,vn |= ϕ undK,vm|=ψfür allemmit 0≤m<n.
Analog zu LTL definieren wir die folgenden abkürzenden Schreib- weisen:
E Fψ:≡E(1 Uψ) (ex. ein Pfad, auf dem irgendwannψgilt) A Fψ:≡A(1 Uψ) (auf allen Pfaden gilt irgendwannψ) E Gψ:≡ ¬A F¬ψ (ex. ein Pfad, auf dem immerψgilt)
83
3.4 Temporale Logiken
A Gψ:≡ ¬E F¬ψ (auf allen Pfaden gilt immerψ) Beispiel3.28.
• In CTL ist Erreichbarkeit definierbar: E Fψbedeutet, dass ein Zu- stand erreicht werden kann, an demψgilt.
• A G¬(P∧Q)drückt aus, dass sichPundQin allen erreichbaren Zuständen ausschließen.
• A G A Fψbesagt, dassψunendlich oft auf allen Pfaden gilt.
Diese Beispiele zeigen, dass viele für die Verifikation wichtige Aussagen in CTL formalisierbar sind. Dies allein macht aber noch nicht die Bedeutung von CTL aus. Wichtig ist, dass CTL andererseits günstige modelltheoretische und algorithmische Eigenschaften besitzt. Zunächst ist CTL (wie ML) invariant unter Bisimulation.
Übung 3.2. Zeigen Sie, per Induktion über den Aufbau von CTL- Formeln, dass für alleψ∈CTL gilt: WennK,v|=ψundK,v∼ K′,v′, dann auchK′,v′|=ψ. Es folgt, dass CTL die Baummodell-Eigenschaft hat.
CTL-Formeln können effizient ausgewertet werden (in linearer Zeit sowohl bezüglich der Länge der Formel wie der Größe des Transitions- systems).
Satz 3.29. Es gibt einen Algorithmus, welcher zu einem gegebenen endlichen Transitionssystem K und einer Formel ψ ∈ CTL in Zeit O(∥K∥ · |ψ|)die ExtensionJψKKberechnet.
Der Beweis beruht auf darauf, dass Formeln der Form E(ψUϕ) und A(ψUϕ)mit Hilfe von graphentheoretischen Algorithmen mit linearer Laufzeit ausgewertet werden können. Weitere wichtige Eigen- schaften von CTL sind:
• CTL hat die Endliche-Modell-Eigenschaft.
• das Erfüllbarkeitsproblem für CTL ist entscheidbar (in exponentiel- ler Zeit).
Dies kann hier nicht bewiesen werden. Für die Behandlung von CTL und anderen modalen und temporalen Logiken sind insbesondere automatentheoretische Methoden wichtig.
3 Modallogik, temporale Logiken und monadische Logik Im Gegensatz zu ML kann CTLnichtin FO eingebettet werden (da z.B. Erreichbarkeit nicht FO-definierbar ist).
3.5 Monadische Logik
Eine hinreichende Erweiterung von FO ist MSO, diemonadische Logik zweiter Stufe, welche FO um Quantoren über einstellige Relationssymbo- le (d.h. Mengenvariablen) erweitert. Aus einer Formelψkönnen neue Formeln der Form∃Xψbzw. ∀Xψgebildet werden, mit der Bedeutung
„es gibt eine TeilmengeXdes Universums, so dassψ“ bzw. „für alle TeilmengenXdes Universums giltψ“. So drückt z.B. die Formel
∀X((Xs∧ ∀y∀z(Xy∧Eyz→Xz))→Xt)
aus, dass im Graphen(V,E)ein Pfad vonsnachtexistiert.
Übung 3.3. Zeigen Sie, dass jede CTL-Formel in eine äquivalente For- mel in MSO übersetzt werden kann.
