Temporele logica specificatie van message passing en real-time systemenCitation for published version (APA):Koymans, R. L. C. (1987). Temporele logica specificatie van message passing en real-time systemen.(Computing science notes; Vol. 8706). Technische Universiteit Eindhoven.

Document status and date:Gepubliceerd: 01/01/1987

Document Version:Uitgevers PDF, ook bekend als Version of Record

Please check the document version of this publication:

• A submitted manuscript is the version of the article upon submission and before peer-review. There can beimportant differences between the submitted version and the official published version of record. Peopleinterested in the research are advised to contact the author for the final version of the publication, or visit theDOI to the publisher's website.• The final author version and the galley proof are versions of the publication after peer review.• The final published version features the final layout of the paper including the volume, issue and pagenumbers.Link to publication

General rightsCopyright and moral rights for the publications made accessible in the public portal are retained by the authors and/or other copyright ownersand it is a condition of accessing publications that users recognise and abide by the legal requirements associated with these rights.

• Users may download and print one copy of any publication from the public portal for the purpose of private study or research. • You may not further distribute the material or use it for any profit-making activity or commercial gain • You may freely distribute the URL identifying the publication in the public portal.

If the publication is distributed under the terms of Article 25fa of the Dutch Copyright Act, indicated by the “Taverne” license above, pleasefollow below link for the End User Agreement:www.tue.nl/taverne

Take down policyIf you believe that this document breaches copyright please contact us at:openaccess@tue.nlproviding details and we will investigate your claim.

Download date: 02. Aug. 2020

RRD , B 1 CSN ft=f.OG

Temporele Logica Specificatie van

Message Passing en Real-Time Systemen

(in Dutch)

Ron Koymans

Temporele Logica Specificatie van

Message Passing en Real-Time Systemen

(in Dutch)

Ron Koymans

Februari 1987

COMPUTING SCIENCE NOTES

This is a series of notes of the Computing

Science Section of the Department of

Mathematics and Computing Science of

Eindhoven University of Technology.

Since many of these notes are preliminary

versions or may be published elsewhere, they

have a limited distribution only and are not

for review.

Copies of these notes ~re available from the

author or the editor.

Eindhoven University of Technology --~ - --- ~ -

Department of Mathematics and Computing Scienc,e

P.O. Box 513

5600 MB EINDHOVEN

The Netherlands

All rights reserved

editor: F.A.J. van Neerven

TEMPORELE LOGICA SPECIFICA TIE V AN MESSAGE PASSING EN REAL-TIME SYSTEMEN

Ron Koymans

Technische Universiteit Eindhoven

Faculteit der Wiskunde en Informatica

Vakgroep Informatica

Postbus 513

5600 MB Eindhoven

e-mail adres: mcvax!eutrc3!wsinronk.UUCP

25 februari 1987

Samenvatting

Temporele logica is een eenvoudige uitbreiding van klassieke logica met tem­

porele operatoren. Als we een berekening zien als een rij toestanden over de tijd.

kunnen we met temporele logica over deze rij redeneren: het klassieke gedeelte

beschrijft het statische aspect. de toestanden zelf. en de temporele operatoren

beschrijven het dynamische aspect. het verband (in de tijd) tussen toestanden.

Temporele logica is een zeer nuttig middel gebleken v~~r de specificatie en

verificatie van met name parallelle systemen. Het is toegepast op de meest uiteen­

Jopende voorbeelden. zoals parallelle programma·s. communicatieprotocollen.

hardware. VLSI. etc.

Des te opmerkelijker is het dat temporele logica a priori niet geschikt is voor

de specificatie van twee belangrijke klassen van systemen: message passing en real­

time systemen. We ontwikkelen een uitbreiding van standaard temporele logica

waarmee message passing en real-time systemen weI kunnen worden beschreven en

illustreren dit aan de hand van twee kleine voorbeelden.

- 2 ..

1. Inleiding

Temporele logica is een eenvoudige en elegante uitbreiding van klassieke logica (propositie- en

predicatenlogica) met temporele operatoren en is in het bijzonder geschikt v~~r het redeneren over

in de tijd veranderende (dynamische) situaties. De onderliggende setnantiek van temporele logica

maakt een duidelijke tweescheiding tussen het statische aspect van een situatie. gerepresenteerd

door een toestand. en het dynamische aspect. het verband On de tijd) tussen toestanden. Deze

tweescheiding vinden we in de syntax terug: een toestand wordt beschreven met klassieke logica.

terwijl de temporele operatoren worden gebruikt voor de beschrijving van de evolutie van de situa­

tie over de tijd. Op deze manier hoeven toestanden en tijd niet expliciet geintroduceerd te worden

in de logica zelf.

Dit beeld van toestanden en hun re1atie in de tijd past uitstekend bij het begrip berekening

zoals dat gebruikt wordt in de informatica. Een berekening kunnen we zien als een rij toestanden

over de tijd (de berekeningsstappen). en zoals hierboven aangeduid kunnen we met temporele logi­

ca over zo'n rij redeneren. Het bijbehorende model van de tijd is dan de verzameling van

natuurlijke getallen. die de tikken van de 'berekeningsklok' voorstellen (beginnend op tijdstip 0).

De zo verkregen variant van temporele logica wordt in de literatuur 'linear time temporal logic'

genoemd. Deze variant is speciaal geschikt v~~r het beschrijven van computer systemen, die dan

gezien worden als voortbrengers van executierijen.

In de afgelopen jaren is temporele logica een zeer nuttig middel gebleken voor de specificatie

en verificatie van parallelle systemen. Het kan in die context onder andere gebruikt worden voor

redeneren over safety-eigenschappen (bv. partie Ie correctheid) en liveness-eigenschappen

(bv, totale correctheid. f~irness).

de beschrijving van systemen op elk niveau van abstractie,

compositioneel redeneren: de specificatie van het hele systeem is een functie van de

specificaties van de sUbsystemen.

De toepassingen van temporele logica in de informatica zijn dan ook talrijk. Met succes is

temporele logica toegepast als specificatie- en verificatiemethode voor parallelle programma's, com­

municatieprotocollen. VLSI. hardware. etcetera. Het kan verder worden gebruikt om axiomatische

definities van parallelle programmeertalen te geven en Ben Moszkowski heeft zelfs een deel van

zijn Interval Temporal Logic omgewerkt tot een programmeertaal. Tempura geheten. zodat

programma's en specificaties samenvallen (en bv. specificaties in Tempura executeerbaar worden).

Des te opmerkelijker is het dat tempore Ie logica a priori niet geschikt is voor de specificatie

v/ln W/e~ belangrijke klassen van systemen: _messagepas~ing en real-time sys~eIlle~ . .I)~imy()l"1,aI1~_

tie van deze twee klassen wordt geillustreerd door hun veelvuldige voorkomim in de praktijk:

message passing is een van de meest belangrijke communicatiemiddelen in gedistribueerde

systemen. zowel op hoog niveau (bv. telecommunicatie applicaties geschreven in CHILL), als

op een lager niveau (zoals bv. in een implementatie van Ada).

- 3 -

onder de vele real-time toepassingen (bv. on-line vluchtreserveringsystemen) zijn er ook

enkele die kritiek van aard zijn. zoals computergestuurde chemische fabrieken en kerncen­

trales.

Omdat message passing systemen zo wijd verbreid zijn en sommige real-time systemen nogal kri­

tiek. is het van groot belang formele technieken te ontwikkelen om over deze systemen te kunnen

redeneren. Wat betreft message passing is deze ontwikkeling reeds vele jaren gaande. Met real­

time is het echter veel droeviger gesteld: dit gebied is door het theoretische onderzoek bijna geheel

verwaarloosd.

2. Temporele Logica

We definieren eerst de syntax van PTL. Propositional (Linear Time) Temporal Logic.

Zij I een niet-Iege verzameling.

PTL gebruikt een propositionele taal met

Vocabulaire: atomaire proposities Pi (i E 1)

propositionele connectieven ...,. A

temporele operatoren X. U. Y. S

Formules: Pi (i E 1)

.., 11. 11 A 12. XI 1· 11 UI 2. YI 1· I 1 SI2 ct l' 12 formules).

De semantiek van PTL is als voIgt. Een toestand is een functie van I naar {True. False} : een toe­

stand geeft aan welke atomaire proposities waar zijn in die toestand. Een model is een oneindige rij

toestanden. Een interpretatie is een paar <M. n > . waarbij M een model en n een natuurlijk

getal is en representeert het heden). Waarheid van een formule I in de interpretatie <M . n > notatie M. n f= I . wordt inductief gedefinieerd als:

M. nf=Pi - Mn (i) = True

M.nf= .... 1 - niet M. n f= I M.nf=/1 A/2 - M.nf=/1 en

M .nf=Xj - M.n+lF=1

M. n f= 11 UI2 - er is een m~n zodat M. m f= I 2 en voor aIle j zodat n ~ j <m geldt

M.jf=/1

M.nf=YI - n>O en M.n-1f=1

M. n f= I 1 S/2 - er is een m ~ n zodat M. m f= I 2 en voor aIle j zodat m < j ~ n geldt

M. jf= 11·

- 4 -

Uit de gegeven vier temporele operatoren kunnen vele andere temporele operatoren worden

afgeleid. Twee zeer belangrijke temporele operator en zijn F ('uiteindelijk') en G ("aItijd·). Deze

kunnen als voIgt worden gedefinieerd:

Ff := true Vf waarbij true == .., (Pi 1\ ..,pi ) voor een i E 1.

Gf := .., F .., f·

Ais voorbeeld van het nut van deze operatoren is de combinatie GP. .. te noemen. wat semantisch

overeenkomt met 'oneindig vaak'. Deze comb ina tie wordt veel gebruikt bij uitdrukking van

f airness-eigenschappen.

3. Message Passing en Real-Time Systemen

Zij Messages een niet-Iege verzameling boodschappen. Een message passing systeem zou

schematisch gerepresenteerd kunnen worden als

in (m ) out (m ) ------~)~ ) MPS = Message Passing Systeem

waarbij m E Messages en

in (m) correspondeert met de aanname (van de omgeving) van boodschap m door het MPS. en

out (m ) correspondeert met de afievering (aan de omgeving) van boodschap m door het MPS.

Een MPS kan een buffer of transmissiemedium zijn. maar ook een ingewikkeld communica­

tienetwerk. in (m) en out (m) vormen de interface met de omgeving en out (m) wordt gezien als

de reactie van het systeem op de actie in (m) van de omgeving. Het bovenstaande plaatje moet

natuurlijk aangevuld worden met restricties op de functies in en out. afhankelijk van het type

message passing systeem. Voor alle typen nemen we de volgende restricties als basis aannamen:

BAL de aanname en aflevering van boodschappen kunnen worden beschouwd als instantane

acties (in de zin dat er altijd een uniek moment kan worden bepaald waarop een

boodschap als aangenomen. dan weI afgeleverd. wordt beschouwd). die altijd mogelijk

zijn.

BA2. op elk moment kan hoogstens een boodschap worden aangenomen. dan weI afgeleverd,

BA3. het MPS creeert zelf geen boodschappen.

BA4. het MPS heeft een eindige snelheid, d.w,z. er is een positieve (mogelijkoneindige}-ver----- --- ~~- -

traging tussen de aanname en de afievering van een boodschap.

Een voorbeeld van een MPS, dat veel in de praktijk voorkomt en aan BAI-BA4 voldoet. is een

transmissiemedium waarbij de kans van een succesvolle transmissie tussen 0 en 1 ligt.

- 5 -

Naast bovenstaande basis aannamen kunnen message passing systemen door nog verdere

eigenschappen onderscheiden worden:

betrou wbaar heidseigenscha ppen

• perfect: aIle aangenomen boodschappen worden (uiteindelijk) afgeleverd

• imperfect: boodschappen kunnen verloren gaan

ordeningseigenschappen

•

•

•

FIFO (als een queue)

LIFO (als een stack)

ongeordend (als een bag).

Een voorbeeld van een ongeordend MPS is een communicatienetwerk waarin elke boodschap naar

een willekeurige knoop wordt doorgezonden totdat de bestemmingsknoop is bereikt.

Voor real-time systemen is het moeilijk een lijst van precieze karakteristieke eigenschappen te

geven zoals hierboven voor message passing systemen. Wat in ieder geval weI duidelijk is, is dat

tijd een zeer belangrijke rol speelt. Twee onderwerpen die we hier ter sprake willen brengen zijn:

'promptness requirements'. by. na elke A voIgt B binnen 3 seconden

tijdsmodellen: sommige real-time system en bewaken continue fysische entiteiten. zoals

volume en temperatuur. en in zo'n geval is een discreet tijdsmodel (zoals de natuurlijke

getallen) aanvechtbaar.

4. Real-Time Temporele Logica (RTL)

Het kan worden bewezen dat vele message passing system en niet met PTL, zoals gedefinieerd

in sectie 2. gespecificeerd kunnen worden. Dit ligt essentieel aan het feit dat PTL verschillende

instanties van een en dezelfde boodschap, die door het MPS aangenomen zijn. niet kan onder­

scheiden en daarom geen unieke koppeling tussen afgeleverde boodschappen en eerder aangenomen

boodschappen kan maken. Wat real-time system en betreft. is er een eenvoudigere reden waarom

deze niet met standaard temporele logica gespecificeerd kunnen worden: PTL heeft alleen maar

qualitatieve temporele operatoren en is dus niet in staat om quantitatieve tijdsmaten te

beschrijven. Bovendien is de semantiek van PTL gebaseerd op een discreet tijdsmodel en, zoals

opgemerkt op het eind van de vorige sectie. maakt dit de beschrijving van de specifieke toepas­

singsgebieden waarbij continue processen zijn betrokken problematisch.

Deze opmerkingen lijden tot onze motivatie voor RTL. Real-Time Temporele Logica. Hierin

worden quantitatieve temporele operatoren geintroduceerd en worden in de semantiek ook dichte

tijdsmodellen toegelaten. zoals de rationale en rciHe getallen. Verder wordt bij message passing

systemen aangenomen dat de binnenkomende boodschappen uniek geidentificeerd kunnen worden.

- 6 -

bv. door boodschappen van conceptuele timestamps te voorzien. Hierdoor wordt de

bovengenoemde koppeling tussen af geleverde en aangenomen boodschappen mogelijk. De aanname

van unieke identificatie is niet zo beperkend als dit op het eerste gezicht lijkt. Deze aanname kan

namelijk worden gerechtvaardigd door het begrip data-onafbankelijkheid dat door Pierre Wolper

geintroduceerd werd. Informeel wordt een systeem data-onafhankelijk genoemd wanneer de

waarden van de aangeleverde data bet functionele gedrag van het systeem niet beinvloeden. Een

van zijn resultaten komt er op neer dat de correctheid van een data-onafhankelijk systeem niet

afhangt van de uniciteit van binnenkomende data. Omdat message passing systemen data aIleen

maar doorgeven zijn ze duidelijk data-onafbankelijk.

We zuIlen nu RTL wat formeler definieren. Beschouw een tijdsdomein T met een lineaire

ordening < (in het bijzonder denken we aan de natuurlijke en de reele getallen). RTL gebruikt een

eerste-orde taal met quantificatie over:

het data domein. bv. Messages: Vm. 3m

het tijdsdomein T : Vt.:3t .

De temporele operatoren zijn U =t en S =t voor aIle t E T.

De semantiek van RTL is als voIgt. Zij E de verzameling van aBe toestanden. Een model is

een functie van T naar E. Voor een interpretatie <M. t > . waarbij M een model is en t E T. is

de definitie van de temporele operatoren als voIgt:

M.t!=/ 1 V=/ o /2 :=M.t+t o!=/2 envoorallet' zodatt<t'<t+to geldt M.t'!=rl

M,t!=/ 1 S=t o /2 := M.t-to!=/2 envoorallet' zodatt-to<t'<t geldt M.t'!=/l.

In bovenstaande definities wordt ervan uitgegaan dat t +t 0 en t -t 0 bestaan in T. Is dit niet het

geval (bv. t -:-t 0< 0 bij de natuurlijke getallen als tijdsdomein) dan zijn bovenstaande formules

onwaar in <M. t >.

Uit deze real-time operatoren zijn weer vele afgeleide operatoren te definieren zoals ook de

oorspronkelijke V en S van PTL uit sectie 2:

11 VI2 := 12 V {f 1 1\ 3 t (t > 0 1\ 11 V =t 12))

11 S/2 := 12 V {f 1 1\ :3 t (t > 0 1\ 11 S =1 12))·

Verder hebben we een quantitatieve versie van de F en een analogon van F dat naar het verleden

kijkt in plaats van de toekomst:

F =t I := true V =1 I ____ 0 _________________ 0- __ ---- --- ----- ----------

PI := :3 t (t > 0 1\ true S =1 I ).

- 7 -

5. Specificatievoorbeelden

Ons eerste voorbeeld betreft message passing systemen. Eerst specificeren we de basis aanna­

men BAI-BA4 uit sectie 3:

BA 2

BA 3a.4

BA 3b

G Vm Vm' [«in (m) -/\ in (m')) V (out (m) /\ out (m' ))) -+ m = m']

G Vm [out (m) -+ P in (m )]

G Vm ., (out (m) /\ Pout (m )).

Aan BAl is al voldaan vanwege onze manier van formaliseren: in (m) en out (m) kunnen op elk

moment waar zijn. Merk op dat we BA3 (geen creatie van boodschappen) hebben gesplitst in de

volgende twee gevallen:

BA3a geen creatie van totaal nieuwe boodschappen

BA3b geen multiplicatie van reeds aanwezige boodschappen.

Axioma BA 3a.4 is niet voldoende om voorwaarde BA3b te specificeren zoals wordt aangetoond

door het gedrag

in (m) out (m ) out (m )

I I

dat weI door axioma BA 3a.4 wordt toegestaan. maar niet aan voorwaarde BA3b voldoet. Daarom

was een apart axioma voor BA3b noodzakelijk.

De aanname van unieke identificatie van binnenkomende boodschappen kan vertaald worden

in het volgende axioma:

G Vm ., (in (m) /\ P in (m )).

Vervolgens specificeren we bovenop BAI-BA4 twee ordeningseigenschappen. nl. FIFO en LIFO:

FIFO G Vm Vm' [(out (m) /\ Pout (m' )) -+ P Un (m) 1\ P in (m' ))]

LIFO G Vm Vm' [(out (m ) 1\ P out (m' ))-+ (P (in (m' ) 1\ P in (m )) V P (out(m' ) /\ ..... p in (m)))].

Beide axioma's zijn onafhankelijk van het weI of niet verIiezen van boodschappen. oftewel van bet

perfect zijn van het MPS. FIFO zegt simpelweg: als m er na m' uitkomt. moet m er ook na m' zijn

ingekomen. Bij LIFO worden twee gevallen onderscheiden als m er na m' uitkomt:

1. m was al op de stack toen m' er bovenop kwam

2. m' was al van de stack voordat m er bovenop kwam.

Merk op dat FIFO en LIFO equivalent worden onder de extra aanname dat de capaciteit van het

MPS om boodschappen op te slaan 1 is (want in dat geval vervalt de eerste disjunctieve c1ausule

- 8 -

bij LIFO. punt 1 boven). Verder is het eenvoudig in te zien dat zowel het axioma voor FIFO als

dat voor LIFO samen met het axioma over de unieke identificatie van binnenkomende boodschap­

pen axioma BA 3b impliceren.

Intuitief zijn al de bovengenoemde eigenschappen safety-eigenschappen. Volgens een syntac­

tische classificatie van tempore Ie formules in safety- en liveness-eigenschappen. zijn formules die

aIleen gebruik maken van de tempore Ie operatoren G en P safety-eigenschappen en de boven­

staande axioma's gebruiken inderdaad aIleen deze twee temporele operatoren. Wanneer we een

echte liveness-eigenschap willen specificeren. zoals het perfect zijn van een MPS. gebruiken we de

typische liveness operator F:

G "1m [in em) -+ F out em)].

Ais real-time voorbeeld kiezen we probleem nr. 8 uit een workshop 'The Analysis of Con­

current Systems' (de proceedings hiervan verschenen als Springer Lecture Notes in Computer Sci­

ence 207) waarin vereenvoudigde praktijkvoorbeelden ter specificatie voorgelegd werden. Het

probleem betreft de vermenging van synchrone en asynchrone invoer. De originele informele

specificatie luidt als voIgt:

The object has two inputs and one output. The output and one of the inputs respectively send and receive data

in packets at regular intervals. The remaining input is asynchronous. i.e. data appears at undetermined times.

The data packets which arrive at the synchronous input may be full or empty. and the object may only output

data by forwarding packets from the synchronous input or filling an empty packet with data from the asyn­

chronous input. All packets have the same size,

Gevraagd werd het hierboven omschreven object formeel te specificeren. Voordat we echter tot

zo'n specificatie kunnen overgaan. zullen we deze informele specificatie wat preciezer moeten lnter­

preteren. We nemen daartoe aan dat aankomst van packets bij de synschrone invoer en het ver­

zenden van packets bij de uitvoer gebeurt in intervaIlen met dezelfde periode, zeg c. Bovendien

nemen we aan dat er een eindige vertraging. zeg d. is tussen de aankomst van een packet p bij de

synchrone invoer en het verzenden van een packet (niet noodzakelijkerwijs p). Met deze aanna­

men interpreteren we de mogelijkheden van verzending van een packet als voIgt:

1. elk niet leeg packet van de synchrone invoer wordt met vertraging d verzonden

2. een leeg packet van de synchrone invoer kan verzonden worden met vertraging d dan weI

wordt in plaats daarvan een eerder ontvangen packet van de asynchrone invoer verzonden.

Tenslotte nemen we aan dat het object zich als een message passing systeem gedraagt. in het

bijzonder dat het zelf geen packets creeert (basis aanname BA3). Al deze aannamen corresponderen

met een natuurlijke interpretatie van de informele specificatie en kunnen desgewenst aangepast

worden ten behoeve van andere interpretaties.

- 9 -

Ais atomaire formules in de formele specificatie gebruiken we ins (p). ina (p). out (p) en

isempty (p) waarbij peen packet is. ins (p ) correspondeert met de aankomst van packet p bij de

synchrone invoer. ina (p) met de aankomst van packet p bij de asynchrone invoer. out (p) met het

verzenden van packet p bij de uitvoer en isempty (p ) geeft aan of peen leeg packet is of niet.

De formele specificatie bestaat uit de volgende 8 axioma's:

1. G Vp [out (p) -+ « ..,3p' out (p')) U =c 3p' out (p' »]

2. G Vp .., (out(p) A P out (p»

3. G Vp Vp' [(out (p) A out (p'» -+ p = p']

4. G Vp Vp' [(ins (p) 1\ ins (p' » -+ p = p' ]

5. G Vp [(ins (p) A ..,isempty (p» -+ F =d out (p)]

6. G Vp [Uns (p ) 1\ isempty (p »- F =d (out (p ) V 3p' [out (p' ) A P ina (p' )])]

7. G Vp [ins (p ) - F =c 3p' ins (p' )]

8. G Vp [(ins (p) A ..,3p· Pins (p'» -+ F =d ..,p 3p' out (p' )].

Axioma 1 formaliseert de regelmatigheid van de uitvoer met periode c. Axioma 2 correspondeert

met voorwaarde BA3b (geen multiplicatie van packets) uit het begin van deze sectie. en axioma's 3

en 4 corresponderen met basis aanname BA2. Axioma 5 correspondeert met de eerste mogelijkheid

voor verzending (punt 1 hierboven) en axioma 6 met de tweede mogelijkheid (punt 2 hierboven).

De gegeven formulering van dit zesde axioma laat toe dat in de vertragingsperiode d nog op het

allerlaatste moment een packet op de asynchrone invoer kan komen dat dan doorgestuurd wordt.

Dit kan desgewenst veranderd worden door by. de operator P buiten het bereik van de operator

F =d te halen. Axioma 7 geeft de regelmatigheid van de synchrone invoer met periode c weer. De

sterkere formulering zoals in het eerste axioma is in dit geval niet nodig omdat deze sterk ere for­

mulering voor de synchrone invoer al voIgt uit dit eerste axiom a gecombineerd met het feit dat

elke synchrone invoer leidt tot een uitvoer met vertraging d (dit laatste voIgt uit het vijfde en

zesde axioma). Axioma 8 zegt dat de uitvoer pas packets kan gaan verzenden tijd d na het

ontvangen van het eerste packet van de synchrone invoer.

Merk op dat basis aanname BA4 al automatisch ingebouwd is door de vertraging d en dat

voorwaarde BA3a (geen creatie van nieuwe packets) uit het begin van deze sectie vervuld is

vanwege het eerste. vijfde. zesde en zevende axioma (regelmatigheid van synchrone invoer en uit­

voer met periode c). Verder is in bovenstaande specificatie opengelaten wat er gebeurt met packets

die aankomen bij de asynchrone invoer. In het zesde axioma wordt slechts uitgedrukt dat een

packet van de asynchrone invoer in plaats van een leeg packet van de synchrone invoer kan wor­

den verzonden. maar of de packets van de asynchrone invoer worden gebuff erd of niet enz. wordt

opzettelijk niet gespecificeerd omdat hierover ook niets gezegd wordt in de informele specificatie.

A vailable Reports from the Theoretical Computing Science Group

Author(s)

TlR82.1

R Kuiper, W.P. de Roever

TIR83.1

TIR83.2

TIR84.1

TIR84.2

TIR84.3

TIR84.4

TIR85.1

TIR85.2

R Koymans,

J. Vytopil,

W.P. de Roever

H. Barringer, R Kuiper

R Gerth,

W.P. de Roever

RGcrth

H.Barringcr,

R Kuiper,

A. Pnucli

H. Barringer,

R Kuiper

W.P. de Roever

O. Griinberg, .... N.Francez,

J. Makowsky,

W.P. de Roever

Title

Fairness Assumptions for CSP in a Tem­poral Logic Framework

Real-Time Programming and Synchronous Message passing (2nd ACM PODC)

Towards the Hierarchical, Temporal Logic, Specification of Concurrent Systems

A Proof System for Concurrent Ada Pro­grams (SCP4)

Transition Logic - how to reason about tem­poral properties in a compositional way (16th ACM FOCS)

Now you may compose Temporal Logic Specifications (proc. STOC84)

Hierarchical Development of Concurrent

Systems in a Temporal Logic Framework

The Quest for Compositionality - a survey

of assertion-based proof systems for con­

current progams, Part I: Concurrency based on shared variables (IFIP85)

A proof-rule-for fair termination-ofguarded-- -

commands (Inf.& Control 1986)

Classification

EUT DESCARTES

TIR85.3

TIR85.4

TIR85.5

TIR86.1

TIR86.2

TIR86.3

TIR86.4

TIR86.5

TIR86.6

TIR86.7

TIR86.8

TIR86.9

TIR86.10

F.A. Stomp,

W.P. de Roever, R Gerth

R Koymans, W.P. de Roever

H. Barringer, R Kuiper,

A. Pnueli

R. Koymans

J. Hooman, W.P. de Roever

R Ger[h,

L. Shira

R. Koymans,

- 2 -

The Jl-calculus as an assertion language for fairness arguments (Inf.& Control 1987)

Examples of a Real-Time Temporal Logic Specification (LNCS207) ,

A Compositional Approach to a, CSP-like Language

Specifying Message Passing and Real-Time CSN86/01 Systems (extended abstract)

The Quest goes on: A Survey of Proof Sys- EUT-Report tems for Partial Correctness of CSP 86-WSK-OI (LNCS227)

On Proving Communication Closedness bf CSN86/07 Distributed Layers (LNCS236)

CSN86/08 RK. Shyamasundar, Compositional Semantics for Real-Time W.P. de Roever. Distributed Computing (Inf.&Control 1987) R Gerth,

S. Arun Kumar

C. Huizing.

R Gerth. W.P. de Roever

J. Hooman

W.P. de Roever

R Gerth. A. Boucher

R Gerth. W.P. de Roever

R. Koymans

Full Abstraction of a Real-Time Denota- CSN86/09 PE.Ol tional Semantics for an OCCAM-like Language

A Compositional Proof Theory for Real- CSN86/10 TR.4-1-1(1) Time Distributed Message Passing

Questions to Robin Milner - A Responder's CSN86/11 Commentary (IFIP86)

A Timed Failures Model for Extended CSN86/12 TR.4-4(I) Communicating Processes

Proving Monitors Revisited: a first step CSN86/13 towards verifying object oriented systems (Fund. Informatica IX-4)

Specifying Message Passing Systems CSN86/14 PE.02 Requires Extending Temporal Logic

- 3 -

TIR86.11 H. Barringer, A Really· Abstract Temporal Logic Seman-R. Kuiper,

A. Poueli tics for Concurrency (Proc. POPL86)

TIR87.1 R. Gerth On the existence of sound and complete CSN87/01 axiomatizations of the monitor concept

TIR87.2 R. Kuiper Enforcing Nondeterminism via Linear Time CSN87/05 Temporal Logic Specifications

TIR87.3 R. Koymans Tcmporele Logica Specifieatie van Message CSN87/06 Passing en Real-Time Systemen (in Dutch)

TIR87.4 R. Koymans Specifying Message Passing and Real-Time CSN87/07 PE.03 Systems with Real-Time Temporal Logic

COMPUTING SCIENCE NOTES

In this series appeared

No. 85/01

85/02

85/03

85/04

86/01

86/02

86/03

86/04

86/05

86/06

86/07

Author(s) R.H. Mak

W.M.C.J. van Overveld

W.J.M. Leunnens

T. Verhoeff H.M.J.L. Schols

R. Koymans

G.A. Bussing K.M. van Hee M. Voorhoeve

Rob Hoogerwoord

G.J. Houben J. Paredaens K.M. van Hee

Jan L.G. Dietz Kees M. van Bee

Tom Verhoeff

R. Gerth L. Shira

Title The formal specification and derivation of CMOS-circuits

On arithmetic operations with M-out-of-N-codes

Use of a computer for evaluation of flow films

Delay insensitiv~-directed trace structures satisfy the foam rubber wrapper postulate

Specifying message passing and real-time systems

ELISA, A language for formal specifications of information systems

Some reflections on the implementation of trace structures

The partition of an information system in several parallel systems

A framework for the conceptual modeling of discrete dynamic systems

Nondeterminism and divergence created by concealment in CSP

On proving counnunication closedness of distributed layers

86/08

86/09

86/10

86/11

86/12

86/13

86/14

87/01

87/02

87/03

87/04

R. Koymans R.K. Shyamasundar W.P. de Roever R. Gerth S. Arun Kumar

C. Huizing R. Gerth W.P. de Roever

J. Hooman

W.P. de Roever

A. Boucher R. Gerth

R. Gerth W.P. de Roever

R. Koymans

R. Gerth

Simon J. Klaver Chris F.M. Verberne

G.J. Houben J.Paredaens

T.Verhoeff

Compositional semantics for real-time distributed computing (Inf.&Control 1987)

Full abstraction of a real-time denotational semantics for an OCCAM-like language

A compositional proof theory for real-time distributed message passing

Questions to Robin Milner - A responder's commentary (IFIP86)

A timed failures model for extended communicating processes

Proving monitors revisited: a first step towards verifying object oriented systems (Fund. Informatica IX-4)

Specifying passing systems requires extending temporal logic

On the existence of sound and complete axiomatizations of the monitor concept

Federatieve Databases

A formal approach to distri­buted . infot"JIlatio.J) .. systems

Delay-insensitive codes -An overview

87/05 R.Kuiper

87/06 R.Koymans

87/07 R.Koymans

Enforcin.g non-determinism via linear time temporal logic specification.

Temporele logica specificatie van message passing en real-time systemen (in Dutch).

Specifying message passing and real-time systems with real-time temporal logic.