確率時間オートマトンの確率時間強模倣検証器の開発

(1)

確率時間オートマトンの確率時間強模倣検証器の開発

山根智小寺広志荒井恒夫

2003年，我々は以下の判定問題を定義して，その決定可能性を示した：「ソフトリアルタイムシステムを表現・解析する1つの有用な道具である確率時間オートマトンというモデル上において，時間強模倣関係と確率模倣関係の組合せとして定義される確率時間強模倣関係が計算可能であるか否か」．但し，判定アルゴリズムは与えていない．そこで，本論文では具体的な判定アルゴリズムを提案し，更に実装して評価する．リアルタイムシステムの検証は検証コストが大きいので,以下のような効率的なアルゴリズムを考案した．アルゴリズムの基本的な考え方は，注意深く選んだ初期集合から反例(確率時間強模倣関係を規定する条件を充たさない状態対)を段階的に取除き，残った集合内に初期状態対が含まれるか否かを判定する，というものである．

In 2003, we have defined a strong probabilistic timed simulation relation of probabilistic timed automata, which is given by the combination of a strong timed simulation relation and a probabilistic simulation relation. Also, we have shown that a strong probabilistic timed simulation relation of probabilistic timed automata is decidable. But we didn’t give the algorithm. In this paper, we propose a concrete algorithm Mand implement the algorithm. As the verification cost of real-time systems is very high, we propose the following algorithm: In the algorithmM, counter examples such as pairs of states, which do not satisfy the conditions of a strong probabilistic timed simulation relation, are gradually removed from the initial set, and finally judge whether one probabilistic timed automaton simulates another or not.

1

はじめに研究の位置付け

近年，コンピュータソフトウェアの巨大化，並列化，分散化,一言で言えば複雑化，及び，社会環境のコンピュータシステムへの依存が強まっていく傾向に伴い，ソフトウェアの信頼性の保証が強く要求されており,形式的検証の理論が大いに期待されている．検証対象とするシステムをグラフやオートマトンなどの数学モデルで表現して，その上で状態空間を網羅的に探索することでバグの取り残しがないように検証するという方法は形式的検証法として重要な位置を Development of Verifier of Strong Probabilistic Timed

Simulation for Probabilistic Timed Automata.

Satoshi Yamane, Hiroshi Kodera, Tsuneo Arai,金沢大学大学院自然科学研究科, Graduate School of Nat- ural Science and Technology, Kanazawa University.

コンピュータソフトウェア, Vol.25, No.3 (2008), pp.148–193.

[研究論文] 2006年3月9日受付.

しめている．形式的検証法は，テストなどの，人間の直観と経験と推理力に頼った有限パターンの検査とは異なり，バグの取り残しはないが，モデル化の問題と網羅的な探索を行うが故の計算量の問題がある．

我々は確率時間オートマトンを用いて,以下のような通信プロトコルやプロセス間通信などにおける制約や条件を仕様記述できる:

1. 送信開始から3単位時間未満なら待つが3単位時間以上は待たないといった受信待ち時間の時間制約

2. 送信データがロストする確率が0.5%，ロストしない確率が99.5といった送信エラーの動作に対する確率的条件

さらに,我々は確率時間時相論理PTCTL(Probabilistic Timed Computation Tree Logic) を用いて, qsend,E |=Adv z.[true∃U asend ∧ (z≤5)]_≥0.8 といった性質を仕様記述できて,その性質が成り立つか否かを自動的にモデル検証できる[7]．なお,この性質

(2)

は,スケジューラAdv により決められた動作において，初期状態から送信開始状態qsendまで5単位時間内に確率0.8以上で到達可能であることを意味する．

この確率時間オートマトンは，ωオートマトン[2]を拡張した時間オートマトン[2], [6]の更なる拡張として考案されていて，理論的バックボーンがある．

近年の複雑なコンピュータシステムの多くが並列分散システムやリアルタイムシステムで構成されていることから，これらのシステムが検証対象となる．

分散システムの記述には非決定性を用いることが有効であることが知られている[11]．一方，リアルタイムシステムのオートマトンによるモデル化には，時間オートマトンが標準的である．これらより，オートマトン理論を使う限りにおいては，非決定性の時間オートマトン,或いは非決定性の確率時間オートマトンでシステムをモデル化しそれを検証するという流れが自然である．一方で，非決定性の時間オートマトンは補集合に対し閉じていない[2]. これに対し，模倣関係を用いた検証は決定可能である．模倣関係と言語包含関係は相関があり，模倣関係が成り立つならば言語包含関係も成り立つという性質がある．この意味で，模倣関係は言語包含関係よりも優れた検証法であると言える．模倣関係と検証のつながりを直感的に述べると，仕様 B^が実装 A^{の任意動作を真似るこ} とが出来るならば，B^にはA^{に対応する構造が全て} 含まれていて，B上で調べたい確率時間時相論理式 [7](例えば,ある確率以上で,ある時間以内に性質を満たすといったソフトリアルタイム性)が成り立っていれば，A上でもその論理式が成り立つ．

以上述べたように，本研究は形式的検証の研究に含まれ，確率時間オートマトンというモデル上での確率時間強模倣関係を用いた検証に関係している．より具体的には，本論文では次の2点を新規に実現した．

1. 確率時間強模倣関係が規定する条件を充たさない状態対(反例)を段階的に構造化された手続きで検出する反例法を構成して，この反例法を基礎として，確率時間強模倣検証問題[12]を解く確率時間強模倣検証アルゴリズムを構成した．提案する反例法では,局所的な情報,つまり,反例が削除された部分的な状態対の集合だけで確率時間

強模倣関係が検証できるという意味で新規性が高い．確率模倣の検証コストは高いので,局所的な情報のみで判定できるという性質は極めて有効である．

2. 確率時間強模倣検証アルゴリズムを実行する検証器を実装し，ワイヤレスLANのプロトコルを事例として検証実験を行い，実験結果に基づいて確率時間強模倣検証アルゴリズムの評価を行った．

提案する反例法を基礎とする確率時間強模倣検証アルゴリズムは，初期状態対から少ない遷移回数で到達可能な状態対の集合内で反例が多く見つかるほど，

計算に要するメモリ使用量と計算時間が共に小さくなる，という性質を有する．また,一般的にも,反例法はバグが多く見つかる設計の初期段階では大変な効力を発揮するアルゴリズムとしても機能する．なお,確率時間強模倣検証アルゴリズム及びその検証器は現時点では存在しない.

次に関連研究を紹介する．

2

確率時間オートマトンと確率時間強模倣関係の定義

本章では，確率時間オートマトンと確率時間強模倣関係の定義を行う．そして，確率時間強模倣検証問題を定義する．

2. 1 確率時間オートマトンの構文と意味の定義以下に定義する確率時間オートマトン(Probabilis- tic Timed Automata ; PTA)というモデルは，時間制約と確率的条件の両方を表現する．但し, 時間制約は，時間を測定する変数 x₁, x₂ ∈ を用いて，1 つの変数又は, 2つの変数の差に対する制約条件を単位とした論理積で表現されるものに限る．例えば，

x₁<3 ∧ x₁−x₂≤5を1つの時間制約とする．また,確率的条件は，状態から状態集合上の離散確率分布への遷移によって表現されるものに限る．

時間制約は次のように定式化される．

定義2.1 (ゾーン) X ={x₁, x₂,· · ·, xn}^を非負の実数変数の有限集合とする．ゾーンは以下の論理式によって定義される:

0≤i=j≤n(xi−xj≺i,jci,j)

ここで,x₀= 0,≺i,j∈ {<,≤},ci,j∈∪ {∞}. ゾーン ζの集合をZ_Xと表記する．ここで，集合 Z_X は非負の実数変数の有限集合X ^{のみによって規} 定されることに注意しておく．次に,ゾーンの解釈の仕方を定義する．

定義2.2 (ゾーンの解釈) ゾーンζ∈Z_X 内には常

(4)

に|X | 個の非負の実数変数が出現すると考える．そして，[[·]] :Z_X →2^Ê^{|X |}^≥0 をゾーンの解釈とする．

例えば，ゾーンの解釈の例は以下である.

[[x₁−x₂≤c ∧ x₃−x₀< d]] = [[x₁−x₂≤c]]× [[x₃−0< d]] =

(a₁, a₂, a₃)∈^|{_≥0^x¹^,x²^}|×^|{_≥0^x³^}|

a₁−a₂< c ∧ a₃< d}

確率的条件の表現のために離散確率分布を定義する．

定義2.3 (離散確率分布) U を空でない集合として，

U 上の離散確率分布の集合を次式で定義する：

Dist(U)^def= {µ |µ:U →[0,1]

ここで,

u∈Uµ(u) = 1.

ただし,µ(u)>0なるuがせいぜい可算である．}. オートマトンは形式的な構造とその構造上での動作の2つを規定すれば厳密に定義される．

非決定性の有限オートマトンに対し時間を測定するクロック変数が附加され拡張されたモデルが時間オートマトンであり，時間オートマトンに対して,離散確率分布が附加され拡張されたモデルが確率時間オートマトンである[7]．

定義2.4 (PTAの構文) PTA A は7つ組A =

S_A, s_A,Σ_A,XA, inv_A, prob_A, τs^A

s∈S_A

である．ここで，

1. S_Aはロケーションの有限集合．

2. s_A∈S_Aは初期ロケーション．

3. Σ_A はアクションラベルの有限集合．

4. XA は非負実数値を取るクロック変数の有限集合．

5. inv_A:S_A→Z_X_A は各ロケーションに時間制約(不変条件)を与える関数．

6. prob_A : S_A → 2^Σ^A^×2^XA^×^Dist⁽^S^A⁾ は，各ロケーションに対し，そのロケーションから外向き

に出る辺(σ, λ, µ)の有限集合を与える関数．た

だし,σ∈Σ_A,λ∈2^X^A,µ∈Dist(S_A)である. 7.

τs^A

s∈S_A は，ロケーションsから外向きに出ている各辺に対し時間制約(ガード条件)を与える関数τ_s^A:prob_A(s)→Z_X_A の有限集合．

ある時刻における次の動作の範囲を規定する情報を状態と言う．PTAにおける状態はロケーションと各クロック変数の値の対で定義される．

定義2.5 (PTAの状態)集合states(A) ^def= _s_∈_S

A

{s,a |a∈[[inv_A(s)]]} ⊆S_A×^|X_≥0^A^| ^の元をPTA A^{の状態と言う．}

定義2.6 (PTAの初期状態の時間制約の条件) 状態 q_A^def= s_A,(0,· · ·,0)を初期状態の時間制約の条件と言い，任意のPTAA ^{の状態集合}states(A)は初期状態の時間制約の条件を満たすものとする．ここで，(0,· · ·,0)は，0が|XA|個続くものを省略した表記であり，例えば|XA|= 5なら，(0,· · ·,0) は，

(0,0,0,0,0)の省略と考えなければならない．

オートマトンの動作とは状態遷移の系列であり，1 回の状態遷移が定義されれば動作が定義される．

定義2.7 (PTAの意味) PTA A ^における1回の状態遷移は，次の2通りの遷移集合の和集合の元である．

1. 時間遷移(Timed Transitions)

状態s,aにて，あるδ∈≥0 (0)に対し，次の条件が真であることを，s,a→ ^δ s,a+ (δ,· · ·, δ) と表し，状態s,a^{から，時間経過量}δの時間遷移が可能と言う：

性質2.1:

a∈[[inv_A(s)]] ∧ a+ (δ,· · ·, δ)∈[[inv_A(s)]].

ここで，(δ,· · ·, δ) は δ が |XA| 個続くものを省略した表記であり，例えば |XA| = 5 で，a = (a₁, a₂, a₃, a₄, a₅) ∈ ^|X_≥0^A^| ならば，a+ (δ,· · ·, δ) は，(a₁+δ, a₂+δ, a₃+δ, a₄+δ, a₅+δ)の省略とする．ところで，上の性質2.1が真ならば，[[inv_A(s)]]

はゾーンだから，次が成り立つ：

∀δ∈≥0 {

δ≤δ ⇒ a+ (δ,· · ·, δ)∈[[inv_A(s)]] }. 2. 離散遷移(Discrete Transitions)

• ^{先ず，状態}q=s,a^にて，a∈[[τs(σ, λ, µ)]]を充たす辺の集合の中から1つの辺e= (σ, λ, µ)∈

(5)

prob_A(s)が選択される．もし，a∈[[τs(e)]]を充たす辺e が存在しない場合は，離散遷移は生じない．

• 次に, |XA|=n として，a∈ ⁿ_≥0 とリセットの指定λ⊆ XA(={x₁,· · ·, xn}) に対し各成分 (a[λ:= 0])_i (1≤i≤n)が

(a[λ:= 0])_i=





0 (if xi∈λ), ai (otherwise) により定まる a[λ := 0] ∈ ⁿ_≥0 ^{と，任意の} s∈S_Aに対して，

p^qe

s,a[λ:= 0]

=µ(s)

を充たす状態集合上の離散確率分布 p^qe ∈ Dist(states(A))が構成される．

• そして，確率的遷移により，p^q_e(s,a[λ:= 0])>

0を充たす遷移先の状態s,a[λ:= 0]^が選択される．

以上の過程を経て，状態 q = s,a ^{が状態}

s,a[λ:= 0] へと遷移することを次のように表し，

状態qから辺e= (σ, λ, µ)を通る離散遷移が可能と言う(qはeを通れる，とも表現する)．

s,a⁽^σ,λ,µ−→⁾^,p^q^e

s,a[λ:= 0]

これが成り立つのは次の条件が真となるときであることを注意してほしい：

a∈

τ_s^A(σ, λ, µ)

∧ ∃s∈S_A s.t.

p^qe(s,a[λ:= 0])>0.

上記の時間遷移と離散遷移の条件はそれぞれ，遷移前の事前条件と遷移後の事後条件の両方を含んでいることに注意されたい．

PTAはNon-Zenoであると仮定する[3], [7]．Non- Zenoとは，有限時間内には有限回の遷移のみが生じることを意味しており，現実的なリアルタイムシステムの動作の1つの側面をモデルに反映させたものである．

2. 1. 1 意味的エラー

任意の離散遷移s,a ⁽^σ,λ,µ−→⁾^,p^q^e s,a[λ:= 0] ^において，p^q_e が状態集合上の離散確率分布であるならば，p^qe(s,a[λ:= 0]) >0 を充たすs,a[λ:= 0]

は状態集合の元でなければならない．そして， s,a[λ:= 0] ∈ states(A) ならば，定義 2.5(PTA

図2.1 意味的エラーの例

の状態の定義) より，s,a[λ:= 0] ∈[[inv_A(s)]]でなければならない．そこで，全ての離散遷移の中で，

次の条件を充たすものは，意味的エラーと見なす：

「p^q_e(s,a[λ:= 0])>0かつ s,a[λ:= 0] ∈states(A)」.

但し，意味的エラーは意味上での制約であって，構文上の制約ではない．図2.1 はPTAの構文に従ってはいるが，遷移s₀,0.5⁽^σ,^{^x¹^}^,µ−→⁾^,p^s^e⁰^,0.5 s₁,0.0 にて，0.0∈[[inv_A(s₁)]] = [[x₁ ≥1]]という意味的エラーを含んでいるため，PTAではない．

以降，意味的エラーが存在しない場合のみを扱う．

2. 2 確率時間強模倣関係の定義

確率時間強模倣関係 [12]は時間強模倣関係[5] と確率分布の模倣関係[4]の組合せとして与えられる．

ここで先ず，確率分布の模倣関係を定義しておく．

定義2.8 (確率分布の模倣関係) 2つのPTAA, B に対して，R ⊆ states(A) × states(B), p₁ ∈ Dist(states(A)),p₂∈Dist(states(B))が与えられるとする．但し，集合{q1∈states(A)|p₁(q₁)>0}

及び{q₂∈states(B)|p₂(q₂)>0}^{はそれぞれ有限集} 合あるいは可算無限集合とする．離散確率分布p₁,p₂ が関係R上で模倣関係があるということをp₁Rp₂ で表し，次のように定義する：

p₁Rp₂

⇐⇒ ∃wdef :states(A)×states(B)→[0,1] s.t.

(6)

図2.2 確率分布の模倣関係の例











i) ∀q₁∈states(A),

q₂∈states(B)w(q₁, q₂) =p₁(q₁).

ii) ∀q2∈states(B),

q₁∈states(A)w(q₁, q₂) =p₂(q₂).

iii) ∀(q₁, q₂)∈states(A)×states(B), If w(q₁, q₂)>0 then(q₁, q₂)∈R.

この関数wを重み関数と言う[1]．

以下に, 確率分布の模倣関係の例を説明する．図 2.2のPTA AとPTA Bにおいて,以下のような重み関数wが定義できる．

w(s₁,a,s₁,a) = ¹₃ w(s₃,b,s₄,b) = ¹₂ w(s₃,b,s₁,a) = ¹₆

ただし,s₁,a^とs₃,b^はPTA Aの状態であり, s1,aとs4,bはPTA Bの状態である．

以下に,定義2.8の3つの条件をチェックする．

1. 定義2.8のi)は,以下のように成り立つ．

w(s₁,a,s₁,a) =1

3 =p₁(s₁,a), w(s3,b,s4,b) +w(s3,b,s1,a)

=1 2+1

6=2

3 =p₁(s₃,b).

2. 定義2.8のii)は,以下のように成り立つ．

w(s₁,a,s₁,a) +w(s₃,b,s₁,a) = 1 2

=p₂(s1,a), w(s3,b,s4,b) =1

2 =p₂(s4,b).

3. 定義2.8のiii)は,以下のように成り立つ. w(s₁,a,s₁,a) = 1

3>0 のとき

(s₁,a,s₁,a)∈R, w(s3,b,s4,b) = 1

2>0 のとき

(s3,b,s4,b)∈R, w(s3,b,s1,a) =1

6 >0 のとき

(s₃,b,s₁,a)∈R.

以上より,p₁Rp₂が成り立つ．p₁Rp₂が意味するところを直感的に言えば, PTA Aでは,イベント列abは確率 ¹₃ で発生し,イベント列acは確率 ²₃ で発生する. これに対応して,上記で定義した重み関数 wを使うならば, PTA Bにおいても,イベント列ab は確率¹₃ で発生し,イベント列acは確率¹₂+¹₆ = ²₃ で発生する.以上が確率分布の模倣関係の直感的な説明である．

次に，記法を1つ定義しておく．

定義2.9 (辺の集合edge_A(s, σ)) PTAAにて，ロケーションs ∈S_A 上にある，アクションラベルが σ∈Σ_Aの辺の集合をedge_A(s, σ)で表し，次式で定義する：

edge_A(s, σ)^def=

(σ, λ, µ)∈prob_A(s) σ=σ . 確率時間強模倣関係は次のように定義される．

定義2.10 (確率時間強模倣関係) A =

S_A, s_A,Σ_A,XA, inv_A, prob_A, τ_s^A

s∈S_A

, B =

S_B, s_B,Σ_B,XB, inv_B, prob_B, τs^B

s∈S_B

をそれぞれ PTA とし，次の条件を充たす二項関係 R ⊆ states(A)×states(B) を確率時間強模倣関

(7)

係と言う．また，確率時間強模倣関係R の中で最大

の集合をR_[A×B] で表す．

全ての(s1,a,s2,b)∈Rに対して，次の2つの条件が両方とも成り立つ：

1. 時間模倣条件: 任意のδ∈>0 に対して,

s₁,a→ ^δ s₁,a+ (δ,· · ·, δ)^ならば, s2,b→ s^δ 2,b+ (δ,· · ·, δ)

∧(s₁,a+ (δ,· · ·, δ),s₂,b+ (δ,· · ·, δ))∈R． 2. 確率模倣条件:

任意のe₁= (σ, λ₁, µ₁)∈prob_A(s₁)に対して, s₁,a⁽^σ,λ¹^,µ−→¹⁾^,p^s^e¹¹^,as₁,a[λ₁ := 0] ^ならば, edge_B(s₂, σ)=∅

∧ ∃e2= (σ, λ₂, µ₂)∈edge_B(s₂, σ) s.t.

{s2,b⁽^σ,λ²^,µ−→²⁾^,p^s^e²²^,bs₂,b[λ₂:= 0]

∧ pe^s₁¹^,^aR pe^s₂²^,^b }^．

PTA間の模倣関係を，確率時間強模倣関係を用いて次のように定義する．

定義2.11 (PTA間の模倣関係)初期状態対(q_A, q_B)

がR_[A×B] に含まれているとき，かつそのときに限

りA ptBと表し(即ち，(q_A, q_B)∈R_[A×B] ⇐⇒^def A ptB^と定義し)，PTAA^はPTAB^{に模倣され} ると言う．

2. 3 確率時間強模倣検証問題の定義

確率時間強模倣検証問題とは次のように定義される判定問題である[12]．

定義2.12 (確率時間強模倣検証問題)

入力: 2つのそれぞれNon-ZenoなPTAA,B.

出力: A ptB^ならばyes /そうでなければno．本論文ではこれ以降，確率時間強模倣検証アルゴリズムを具体的に構成する．

3 4

章の準備

本章では，4章の確率時間強模倣検証アルゴリズムの議論のための準備として，並列合成演算，クロックリージョン，そして,確率リージョングラフの各定義および4章で必要とする性質と記法を述べる．

3. 1 並列合成演算

経過時間に関する同期を取るために，4章で並列合

成演算 [5], [12]を利用する．並列合成演算を定義す

る前に，準備として確率分布に関する2つの定義を行う．

定義3.1 (Dirac分布) PTAA^{のロケーションの} 集合S_A上の離散確率分布で，s₁∈S_Aとして，次のように定義される µ^s_A¹ ∈Dist(S_A) をDirac分布と言う：

µ^s_A¹(s₁)^def=





1 (if s₁=s₁), 0 (otherwise)

定義3.2 (確率分布の合成) 離散確率分布 µ₁ ∈ Dist(S_A) と µ₂ ∈ Dist(S_B) とから次の離散確率分布µ₁×µ₂ ∈Dist(S_A×S_B)が構成できる：

任意のロケーション対(s₁, s₂)∈S_A×S_Bに対して，

(µ₁×µ₂)(s₁, s₂)^def= µ₁(s₁)×µ₂(s₂)．並列合成演算は次のように定義される．

定義3.3 (並列合成演算) P TAA=

S_A, s_A,Σ_A,XA, inv_A, prob_A,

τs^A

s∈S_A

, B=

S_B, s_B,Σ_B,XB, inv_B, prob_B,

τ_s^B

s∈S_B

から P T AA B=

S_AB, s_AB,Σ_AB,X_AB, inv_AB, prob_AB,

τ_s^AB

s∈S_AB

を構成する演算を並列合成演算と言う．但し，

• S_AB^def= S_A×S_B．

• s_AB^def= (s_A, s_B)．

• Σ_AB^def= Σ_A∪Σ_B．

• XABdef

= XA XB (disjoint)．

(8)

• 全ての(s₁, s₂)∈S_ABに対して，

inv_AB(s₁, s₂)^def= inv_A(s₁) ∧ inv_B(s₂)．

• 任意の(s₁, s₂)∈S_ABに対するprob_AB(s₁, s₂)

⊆Σ_AB×2^X^AB×Dist S_AB

及びτ₍^AB_s

1,s₂) : prob_AB(s₁, s₂)→Z_X_AB は以下のように構成する：

– 同期辺の構成；任意の (σ₁, λ₁, µ₁) ∈ prob_A(s₁)に対し，(σ₂, λ₂, µ₂)∈prob_B(s₂) が存在して σ₁ = σ₂ を満たすならば，辺 (σ₁, λ₁ λ₂, µ₁ ×µ₂) を prob_AB(s₁, s₂) に加え，τ₍^AB_s

1,s₂)(σ₁, λ₁ λ₂, µ₁ ×µ₂) ^def= τ_s^A₁(σ₁, λ₁, µ₁) ∧ τ_s^B₂(σ₂, λ₂, µ₂)と定める．

– Aの非同期辺の構成；任意の(σ₁, λ₁, µ₁)∈ prob_A(s₁)に対し，edge_B(s₂, σ₁) =∅ならば，辺(σ₁, λ₁, µ₁×µ^s_B²)をprob_AB(s₁, s₂) に加え，τ₍^AB_s

1,s₂)(σ₁, λ₁, µ₁ × µ^s_B²) ^def= τ_s^A₁(σ₁, λ₁, µ₁)と定める．

– Bの非同期辺の構成；任意の(σ₂, λ₂, µ₂)∈ prob_B(s₂) に対し，edge_A(s₁, σ₂) =∅^ならば，辺(σ₂, λ₂, µ^s_A¹×µ₂)をprob_AB(s₁, s₂) に加え，τ₍^AB_s

1,s₂)(σ₂, λ₂, µ^s_A¹ × µ₂) ^def= τs^B₂(σ₂, λ₂, µ₂)と定める．

定義3.3におけるA Bの構成法より，次の性質が成り立つ．

性質3.1 (A Bの性質) ロケーション (s₁, s₂)

∈S_AB と，アクションラベルσをそれぞれ1つずつ固定した時，ロケーション(s₁, s₂)におけるσ がラベル付けされた,全ての外向きの辺は，

• σによる同期辺

• σによるAの非同期辺

• σによるBの非同期辺の3種類の内のいずれかとなる．

ここで，便宜上，2つの記法を導入する．

定義3.4 (辺の分類) ロケーション (s₁, s₂)から外向きに出ている辺のラベルの集合

σ∈Σ_AB | (σ, λ, µ)∈prob_AB(s₁, s₂) を label_AB(s₁, s₂) で表す．性質 3.1より，ロケー

ション(s₁, s₂)∈S_ABとアクションラベルσをそれぞれ決めると(σ∈label_AB(s₁, s₂) である場合，つまり，σ がロケーション(s₁, s₂) から外向きに出ているいずれかの辺のラベルである場合)，辺の種類が 1つだけ決まる．そこで，次の関数ekが定義できる (ekはedge kindの略)：

ek:S_AB×Σ_AB→ {syn, asyn_A, asyn_B, empty}. ここで，syn は同期辺, asyn_A は A の非同期辺, asyn_B は B の非同期辺, emptyは辺が存在しないことをそれぞれ意味する．以降，σ ∈ Σ_AB\label_AB(s₁, s₂) に対するek((s₁, s₂), σ) は参照しない．

定義3.5 (2つのクロック変数値の結合) a= (a₁,

· · ·, a_|X_A_|)∈^|X_≥0^A^|,b= (b₁,· · ·, b_|X_B_|)∈^|X_≥0^B^| ^として，

(a₁,· · ·, a_|X_A_|, b₁,· · ·, b_|X_B_|)∈^|X_≥0^A^X^B^| をa◦bで表記する．

次に，A B上における離散遷移が，元々のA^上とB上ではどのような意味を持つかを考察する．

性質3.2 (A B 上の3種の離散遷移) A B 上での，辺 e = (σ, λ₁ λ₂, µ₁ × µ₂) を通る離散遷移 (s₁, s₂),c ^(σ,λ¹^λ²^,µ¹^×µ−→²^),p^(s^e ¹^,s²⁾^,c (s₁, s₂),c[(λ₁λ₂) := 0]^はA,B^上では，c=a◦b として次の意味を持つ：

1. ek((s₁, s₂), σ) =synの場合かつ，その場合に限り；

辺e₁= (σ, λ₁, µ₁)∈prob_A(s₁)は次を充たし：

s₁,a⁽^σ,λ¹^,µ¹⁾^,p

s1,a e1

−→ s₁,a[λ₁:= 0]

かつ，辺e₂= (σ, λ₂, µ₂)∈edge_B(s₂, σ)は次を充たす：

s2,b⁽^σ,λ²^,µ−→²⁾^,p^s^e²²^,bs₂,b[λ₂ := 0]． 2. ek((s₁, s₂), σ) =asyn_Aの場合かつ，その場合

に限り；

辺e₁= (σ, λ₁, µ₁)∈prob_A(s₁)は s1,a⁽^σ,λ¹^,µ−→¹⁾^,p^s^e¹¹^,as₁,a[λ₁:= 0]

を充たし，かつ，edge_B(s₂, σ) =∅^．

3. ek((s₁, s₂), σ) =asyn_B の場合かつ，その場合

(9)

に限り；

辺e₂= (σ, λ₂, µ₂)∈prob_B(s₂)は s₂,b⁽^σ,λ²^,µ²⁾^,p

s2,b e2

−→ s₂,b[λ₂:= 0]

を充たし，かつ，edge_A(s₁, σ) =∅．

離散遷移に対する一方で，A B^{上での時間遷移} についても考察する．

性質3.3 (A B上の時間遷移) 状態集合states (A B) 上での時間遷移(s₁, s₂),c −→ ^δ (s₁, s₂),

c+ (δ,· · ·, δ)は，A,B上では同期した時間遷移を意味する．即ち，c=a◦bとして，s1,a−→ s^δ 1,a+

(δ,· · ·, δ) ∧ s2,b−→ s^δ 2,b+ (δ,· · ·, δ)を意味する．

更に，任意の状態 q ∈ states(A B) からの任意の時間遷移先は states(A B) に含まれるため，遷移元の状態が states(A B) 内にある限り，

states(A B)内には同期しない時間遷移先は存在し

ない．従って，q∈states(A B)からの同期しない時間遷移先が存在するとすれば，states(A B)の外

S_AB×^|X_≥0^AB^|

\states(A B)に存在する(この考えは，補題4.1の証明で前提として用いる)．

3. 2 クロックリージョン

4章にて，A ptBか否かを計算する手続きの有限化のためにクロックリージョン[2]を利用する．まず，クロックリージョンの定義を述べよう．

定義3.6 (リージョン等価関係) [6] 次のように定義される^|X_≥0Â^| 上の二項関係 ⊆^|X_≥0Â^|×^|X_≥0Â^| を，

リージョン等価関係と言う．max{ |c| ∈ | c∈ はPTAA上に出現する不変条件inv_Aとガード条件の式τs^Aに出現する}をC_Aで表す．

ab ⇐⇒^def ^次の条件1.と2.が成り立つ：

1. 任意の i(1≤i≤ |XA|)に対し,次の (a), (b) どちらか一方が成り立つ．

(a)ai> C_Aならば，bi> C_A．

(b)ai≤C_A ならば，ai=bi ∧ (ai− ai = 0 ⇐⇒ bi− bi= 0)．

2. 任意のi, j(1≤i≤ |XA|, 1≤j ≤ |XA|, i=

j) と,任意のc∈ {−CA,· · ·,−1,0,1,· · ·, C_A} と，任意の≺ ∈ {<,≤}に対し,ai−aj≺c ⇐⇒

bi−bj≺c．

このリージョン等価関係^{は同値関係であり，実} 数を有限個の同値類に直和分割する[6]．リージョン等価関係は同値関係であるため，次の3つの命題が成り立つ：

1. 任意のa,b∈^|X_≥0^A^|に対し，ab ⇐⇒ [a] = [b]．

2. 任意の a,b ∈ ^|X_≥0^A^| ^{に対し，}a b ⇐⇒

[a] ∩ [b] =∅^． 3. a∈^Ê^|XA|_≥0 [a] =^|X_≥0^A^|．

これらは広く知られている事実である．

定義3.7 (クロックリージョン) [2] リージョン等価関係 ^{により定まる同値類}[a] = {a|aa} ⊆

|X_A|

≥0 をクロックリージョンと言う．便宜上，クロックリージョンの全体集合を V(X_A,C_A) def

=

[a] a∈^|X_≥0^A^|

で表す．これは商集合 ^|X_≥0^A^|/ のことである．

ここで，クロックリージョンの中でも特殊な性質を持つものを区別しておく．

定義3.8 (時間発散的なクロックリージョン) 1 ≤ i ≤ |XA| ^{なる全ての} i に対し，ai > C_A を充たすクロックリージョン[a]∈ V_(X_A,C_A)を時間発散的なクロックリージョンと言う．

ρを時間発散的なクロックリージョンとすると，ρ 内の任意点からいくら無限に時間を経過させても，同じクロックリージョン内に留まることが出来る．

次に，4章で用いるクロックリージョンの性質を幾つか述べておく．

性質3.4 (時間安定性) [6]ρ∈ V(X_A,C_A)をクロックリージョンとする．このとき，次の性質が成り立つ．

任意のa,b∈ρと,任意のδ∈>0に対し,

∃δ∈>0 s.t.[a+ (δ,· · ·, δ)] = [b+ (δ,· · ·, δ)]．この時間安定性は，補題4.9の証明で用いる．

確率時間オートマトンの確率時間強模倣検証器の開発

確率時間オートマトンの確率時間強模倣検証器の開発

山根 智 小寺 広志 荒井 恒夫

1

2

3 4

山根智小寺広志荒井恒夫