31.05.2020 10:34
potan 0 1300 Источник
Я уже моделировал RS-триггер как полностью синхронную схему. Но в некоторых приложений таких моделей не достаточно, требуется рассмотреть переходные процессы, которые могут возникнуть. TLA+ разработан для анализа параллельных асинхронных систем. Поупражнявшись в решении головоломок с его помощью, можно начать применять этот инструмент и для более серьезных задач.

RS-триггер состоит из двух рекурсивно связанных NOR-элементов (NOT OR). Для начала опишем отдельный NOR.

NOR(a,b,c) == c' = ~ (a \/ b)

Этот элемент связывает три точке в схеме, его действие устанавливает сигнал в точке c в следующий момент времени в NOT(OR(a,b)). Когда именно это произойдет мы пока не указываем.

Теперь объединим два NOR в один RS-триггер.

RS == (\/ (NOR(r, q, p) /\ UNCHANGED q)
       \/ (NOR(p, s, q) /\ UNCHANGED p)
       \/ (NOR(r, q, p) /\ NOR(p, s, q)))
      /\ UNCHANGED <<r,s>>

Здесь явно описана асинхронная природа электронных схем. Может сработать один из двух NOR или оба сразу. При этом предполагаем, что входные сигналы r и s не изменяются.

RS-триггер работает корректно, если не подавать ему на вход оба сигнала r и s равными TRUE. Предполагаем, что схема, в составе которой работает моделируемое устройство следует этому соглашению. Также предполагаем, что изменения входных сигналов происходит когда переходные процессы уже завершились. Это должно обеспечиваться либо выбором тактовой частоты в синхронных схемах, либо дополнительной логикой в асинхронных.

Change == /\ p = ~ (r \/ q)
          /\ q = ~ (p \/ s)
          /\ IF r = FALSE /\ s = FALSE
             THEN \/ (r' = TRUE /\ s' = FALSE)
                  \/ (r' = FALSE /\ s' = TRUE) 
             ELSE r' = FALSE /\ s' = FALSE
          /\ UNCHANGED <<p,q>>

Что бы проверить, что установившееся состояние триггера соответствует выполняемой операции введем вспомогательные переменные, в которых будем хранить значения сигналов перед изменениями.

Check == /\ oldp' = p
         /\ oldq' = q
         /\ stable' = (r = FALSE /\ s = FALSE)

Теперь можно сформулировать предикат перехода.

Next == Check /\ (RS \/ Change)

Кроме корректности установившегося состояния триггера будем проверять так же непротиворечивость выходов в промежуточном состоянии — что оба выхода не могут одновременно принимать значение TRUE (в частности это означает, что мы имеем право передавать выходы одного триггера на другой).

OutputOk == p /= TRUE \/ q /= TRUE

И полный инвариант

Invariant == /\ (r = FALSE \/ s = FALSE)
             /\ (stable => oldq = q /\ oldp = p)
             /\ OutputOk

Еще одно хорошее свойство, которое, однако, не может быть записано в инварианте — что переходные процессы в триггере рано или поздно завершаться.

RSok == /\ [] (r = TRUE ~> q = TRUE)
        /\ [] (s = TRUE ~> p = TRUE)

"r ~> q" — синтаксический сахар для "r => <> q".
"=>" — логический оператор «следует».
"<>" — темпоральный оператор «когда-нибудь».
"[]" — темпоральный оператор «всегда».

Темпоральные операторы запрещено использовать в инварианте, но можно в PROPERTY (свойство всей модели).

С нашим свойством RSok есть небольшая проблема — оно не выполняется! Дело в том, что действие RS выполнившись может ничего не изменить, то есть в графе состояний образуется петля, в которой система, согласно нашей спецификации, может крутиться вечно. Эту петлю не сложно было бы убрать, добавив предусловия на срабатывание:

RS == (\/ ((p /= ~ (r \/ q)) /\ NOR(r, q, p) /\ UNCHANGED q)
       \/ ((q /= ~ (p \/ s)) /\ NOR(p, s, q) /\ UNCHANGED p)
       \/ (((p /= ~ (r \/ q)) /\ (q /= ~ (p \/ s)) /\ NOR(r, q, p) /\ NOR(p, s, q)))
      /\ UNCHANGED <<r,s>>

Но дело обстоит хуже — если задана проверка темпоральных свойств модели, TLA+ автоматически добавляет петлю в каждый узел. Это делается для «композируемости» моделей — если мы составляем модель из нескольких, действие в одном компоненте оставляют без изменения состояния не связанных с ним компонентов. Таким образом свойства компонента должны быть инвариантны к наличию петель.

Что бы с этим как-то жить, TLA+ поддерживает «справедливость» (fairness) — ему можно указать, что если переход возможен, он когда-нибудь произойдет.

vars == <<r,s,p,q, stable, oldp, oldq>>
Spec == Init /\ [][Next]_vars /\ WF_vars(Next)

Fairness указывается заклинанием WF_vars(Next)

Полный файл rs.tla

Скрытый текст 
--------------------------------- MODULE rs ---------------------------------

VARIABLES r,s,p,q, stable, oldp, oldq

vars == <<r,s,p,q, stable, oldp, oldq>>

NOR(a,b,c) == c' = ~ (a \/ b)

Init == /\ r = FALSE
        /\ s = FALSE
        /\ p = TRUE
        /\ q = FALSE
        /\ stable = FALSE
        /\ oldp = p
        /\ oldq = q

RS == (\/ (NOR(r, q, p) /\ UNCHANGED q)
       \/ (NOR(p, s, q) /\ UNCHANGED p)
       \/ (NOR(r, q, p) /\ NOR(p, s, q)))
      /\ UNCHANGED <<r,s>>

Check == /\ oldp' = p
         /\ oldq' = q
         /\ stable' = (r = FALSE /\ s = FALSE)

Change == /\ p = ~ (r \/ q)
          /\ q = ~ (p \/ s)
          /\ IF r = FALSE /\ s = FALSE
             THEN \/ (r' = TRUE /\ s' = FALSE)
                  \/ (r' = FALSE /\ s' = TRUE) 
             ELSE r' = FALSE /\ s' = FALSE
          /\ UNCHANGED <<p,q>>

Next == Check /\ (RS \/ Change)

OutputOk == p /= TRUE \/ q /= TRUE

Invariant == /\ (r = FALSE \/ s = FALSE)
             /\ (stable => oldq = q /\ oldp = p)
             /\ OutputOk


Spec == Init /\ [][Next]_vars /\ WF_vars(Next)
RSok == /\ [] (r ~> q)
        /\ [] (s ~> p)

=================================================================================

Теперь создадим конфигурацию для проверки модели rs.cfg

SPECIFICATION Spec
PROPERTY RSok
INVARIANT Invariant

Проверка модели запускается командой tlc2 rs.tla или указав значения из конфигурации в настройках модели в графической оболочке tla-toolbox.