Domain-specific modeling and verification language EDOLA by Zhang, Hehua
Domain-specific modeling and verification language
EDOLA
Hehua Zhang
To cite this version:
Hehua Zhang. Domain-specific modeling and verification language EDOLA. Software Engi-
neering [cs.SE]. Tsinghua university, 2009. Chinese. <tel-00516709>
HAL Id: tel-00516709
https://tel.archives-ouvertes.fr/tel-00516709
Submitted on 10 Sep 2010
HAL is a multi-disciplinary open access
archive for the deposit and dissemination of sci-
entific research documents, whether they are pub-
lished or not. The documents may come from
teaching and research institutions in France or
abroad, or from public or private research centers.
L’archive ouverte pluridisciplinaire HAL, est
destine´e au de´poˆt et a` la diffusion de documents
scientifiques de niveau recherche, publie´s ou non,
e´manant des e´tablissements d’enseignement et de




培 养 单 位 ：计算机科学与技术系
学 科 ：计算机科学与技术
研 究 生 ：张 荷 花







in partial fulfillment of the requirement




( Computer Science and Technology )
















































With the widely use of software technique in everyday applications, the correct-
ness of software becomes more and more important. Formal verification is an important
method to improve the correctness of software. However, it mainly takes formal lan-
guages as its modeling languages, which are based on mathematical logic, automata or
graph theory, hard for learning and domain description. That hinders the applications
of formal verification in industry.
This dissertation investigates the design and practice of domain modeling and
verification language EDOLA, to possess all the features of the usability for domain
description, reusability and automatic verification. It proposes a three-level design
method with the domain knowledge level, the common module level and the verifica-
tion support level. The main contributions are summarized as follows:
1. In the domain knowledge level, the extraction and representation methods of
the domain knowledge on both job-shop scheduling and PLC control software
are proposed. It defines domain-specific operators of the job-shop scheduling
problem, timed Petri net, etc. for the job-shop scheduling description. It also
defines the operators of the scan cycle pattern, the complete environment pattern
and five kinds of verification requests for the PLC domain description. It presents
the formal semantics of the defined domain-specific operators, for the further
EDOLA definition and its automatic verification.
2. In the common module level, the method to define common operators is pre-
sented with real-time as an example for common knowledge. It proposes two
kinds of basic time operators and four advanced ones, which help EDOLA to
describe real-time features easily and make the reusability of EDOLA design
among time-sensitive domains possible.
3. In the verification support level, it presents a properties-oriented abstraction strat-
egy, which reduces the state space and exploring space during automatic verifi-
II
Abstract
cation. It then formulates the encoding rules from EDOLA to first-order logic,
thus implements the verification of the models with infinite states, with the help
of first-order logic automatic theorem provers.
4. A prototype of the PLC domain modeling and verification language: EDOLA-
PLC are developed and its tools are implemented. The tools provide an EDOLA-
PLC editor and a compiler with the functionalities like syntax checking, seman-
tics checking and translation-based automatic verification.
5. A case study of the EDOLA-PLC language on a dock fire-fighting control sys-
tem is presented. It indicates that EDOLA-PLC is easy to describe both the PLC
domain knowledge and the properties to be verified; is easy to describe the com-
mon knowledge: real-time and can be verified automatically. The results show
that the abstraction strategy adopted in the verification support level of EDOLA-
PLC improves the efficiency of automatic verification.
Key words: Domain-specific language; TLA+; automatic theorem proving; pro-




第 1章 绪论 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
1.1 研究背景 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
1.2 研究现状 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
1.2.1 规范说明语言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
1.2.2 领域专用语言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
1.3 研究思路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1.4 预备知识 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
1.4.1 TLA逻辑的语法和语义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
1.4.2 TLA+表达式介绍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
1.5 论文贡献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
1.6 论文结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
第 2章 EDOLA的领域知识层研究和实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.2 基本设计方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.3 生产调度算法的领域知识提取和表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3.1 领域界定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3.2 领域知识和验证需求提取 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.3.3 领域知识和验证需求表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.3.4 操作符的形式语义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.4 PLC控制软件的领域知识提取和表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.4.1 领域界定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.4.2 领域知识和验证需求提取 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.4.3 领域知识和验证需求表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.4.4 基于TLA+的形式语义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.5 本章小结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
IV
目 录
第 3章 EDOLA的公共模块层研究和实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.2 时间特征的知识提取和表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.2.1 动作持续时间 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.2.2 动作间时间间隔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.2.3 高级时间模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.3 操作符的形式语义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.3.1 时间演进 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.3.2 动作持续时间的语义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.3.3 动作间时间间隔的语义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.4 高级时间模式的语义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4 案例分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.5 本章小结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
第 4章 EDOLA的验证支持层研究和实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.2 subTLA介绍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.3 EDOLA到subTLA的编译 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.1 EDOLA到subTLA的编译框架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.2 抽象策略的正确性证明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.4 subTLA到自动验证工具的转换 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.4.1 模型转换的基本知识 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.4.2 表达式的转换方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.4.3 完整subTLA模型的处理方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.5 本章小结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
第 5章 EDOLA-PLC的原型设计和工具实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.2 EDOLA的体系结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.3 EDOLA-PLC的抽象语法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.4 EDOLA-PLC的工具实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.4.1 EDOLA-PLC的编辑界面和功能介绍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.4.2 EDOLA-PLC的编译器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.5 本章小结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
V
目 录
第 6章 EDOLA-PLC语言的应用实例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
6.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
6.2 码头消防PLC控制系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.3 码头消防控制系统的EDOLA-PLC模型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6.3.1 参数化描述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6.3.2 变量声明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
6.3.3 动作定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
6.3.4 约束定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
6.3.5 属性表达 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
6.4 码头消防EDOLA-PLC模型的自动验证. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
6.4.1 EDOLA-PLC模型到subTLA模型的编译结果 . . . . . . . . . . . . . . . . . . . . . . . . . 91
6.4.2 基于TLC的模型检测结果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
6.4.3 基于自动定理证明器SPASS的验证结果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
6.5 相关比较 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
6.5.1 与已有PLC建模验证工作的比较 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
6.5.2 EDOLA-PLC语言的相关比较 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
6.6 本章小结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
第 7章 结束语 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
7.1 工作总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
7.2 研究展望 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
致谢与声明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114




EDOLA 新型领域语言 (Evolved DOmain LAnguage)
DSL 领域专用语言 (Domain Specific Language)
TLA 动作时序逻辑 (Temporal Logic of Actions)
CTL 计算树逻辑 (Computation Tree Logic)
LTL 线性时序逻辑 (Linear Temporal Logic)
SMT 可满足性模理论 (Satisfiability Modulo Theory)
PLC 可编程逻辑控制器 (Programmable Logic Controller)










































































































































































































〈公式〉 ∆= 〈谓词〉 | [〈动作〉]〈状态函数〉 |
¬〈公式〉 | 〈公式〉 ∧ 〈公式〉 | 〈公式〉
〈动作〉 ∆= 包含常量符号、变量符号和带撇变量的布尔表达式






sJ f K ∆= f (∀‘v’ : sJ v K/v ) σJF ∧G K ∆= σJF K ∧ JG K
sJA Kt ∆= A(∀‘v’ : sJ v K/v , tJ v K/v ′) σJ¬F K ∆= ¬σJF K
|= A ∆= ∀s , t ∈ St : sJA Kt |= F ∆= ∀σ ∈ St∞ : σJF K
sJ  A K ∆= ∃t ∈ St : sJA Kt
〈s0, s1, . . .〉JF K ∆= ∀n ∈ Nat : 〈sn , sn+1, . . .〉JF K
〈s0, s1, . . .〉JA K ∆= s0JF Ks1
在基本符号的基础上定义的其它一些常用符号，表示如下。
p′ ∆= p(∀‘v’ : v ′/v ) 3F ∆= ¬¬F
[A]f
∆
= A ∨ (f ′ = f ) F ; G ∆= (F ⇒ 3G)
〈A〉f ∆= A ∧ (f ′ , f ) WFf (A) ∆= 3〈A〉f ∨ 3¬ 〈A〉f
 f ∆= f ′ = f SFf (A)
∆
= 3〈A〉f ∨3¬ 〈A〉f
其中f是一个状态函数；A是一个动作；F和G是公式； p是一个状态函数或谓












∧ ∨ x = 1
∨ x = 2
∧ ∨ y = 1
∨ y = 2
与((x = 1) ∨ (x = 2)) ∧ ((y = 1) ∨ (y = 2))具有相同的含义。
集合幂集和广义并 集合S的幂集表达形式为  S，例如 
{1, 2} = {{ }, {1}, {2}, {1, 2}}；集合S的广义并表达形式为  S，例如 
{{ }, {1}, {2}, {1, 2}} = {1, 2}。
集合约束表达式 表达形式为{x ∈ S : P }，定义了这样一个集合：它是集合S的
子集，且集合成员满足谓词P，例如：{x ∈ Nat : x%2 = 0}定义了偶数集合（其
中Nat表示自然数集）。
集合内涵表达式 表达形式为{e : x1 ∈ S1, . . . , xn ∈ Sn}，定义了这样一个集
合：它的成员都具有e的形式，且e中的参数分别满足x1 ∈ S1, . . . , xn ∈ Sn，例
如：{x + y : x ∈ {1, 2}, y ∈ {3, 4}}。
8
第 1章 绪论
记录赋值表达式 表达式形式为[elem1 7→ val1, . . . , elemn 7→ valn]，表示对
具有n个成员的记录进行赋值，这通过对记录的每个成员进行赋值实现。例









































































程 [82]（domain engineering）的分析和基于程序族 [41]的分析。目前DSL的领域分析
大多是非形式化的个案分析。基于领域工程的分析，通过系统性的领域建模方法
来获取领域知识。比较著名的领域建模方法包括ODM [83]（Organizational Domain
Modeling)、FODA [84]（Feature-Oriented Domain Analysis）、DSSA [85]（Domain-
Specific Software Architectures）等。基于程序族的领域分析从一族相似程序
中提取领域相关的共性特征，采用逆向工程技术从程序族中挖掘领域知




































































































• F：待处理的n个作业被划分为F个族（Family），F ≥ 1。同一族中的作业，
加工工艺路线相同。
















定义 2.1：时间Petri网是一个六元组TPN = (P , T , I , O , M0, D)，其中P是库
所（Place）的有限集合；T是变迁（Transition）的有限集合，P ∪T , ∅且P ∩T =
∅；I : (P × T )→ N是输入函数，它定义了从库所到变迁的有向弧，其中N是非
负整数集，整数值代表输入权值（Weight）；O : (T × P )→ N是输出函数，它定
义了从变迁到库所的有向弧，其中N中的整数值代表输出权值；M0 : P → Seq
是初始状态（Initial Marking），Seq是由非负整数构成的序列集；D : T → N是
定义变迁执行时持续时间的函数。
















族i工艺路线中的第j个加工操作为Oi ,j，则Oi ,j被映射为时间Petri网的变迁pti ,j，












1, −jibp 1, −jipt
iB iB
iB iB















假定作业族i的工艺路线Ri包含Si个加工操作，即Ri : Oi ,1 →, . . . ,→ Oi ,Si，
则它的一个顺序关系 Oi ,j−1 → Oi ,j , j = 2, . . . , Si，可通过将Oi ,j−1的加工后状态库







































中p = 1, . . . , c。与之对应，kbip表明机器k已准备好加工作业族ip，且加工操作已




第一步 添加一组变迁st0k ,ip及其连接弧，使得变迁st0k ,ip的输入库所为kp，输出



















第二步对于任意两个库所kbip和kaiq，p, q = 1, . . . , c, p , q，添加一个变迁stk ,p,q，
使得其输入库所为kbip，输出库所为kaiq。此变迁表示机器k准备好并加工完作业
族ip之后，紧接着为另一作业族iq进行准备的动作。



















机（State Machine）、标记图（Marked Graph）、自由选择网（Free Choice Net）、扩






定义 2.2：对于时间Petri网TPN = (P , T , I , O ,M0, D)，我们定义•t = {p | I (p, t) ≥
1}为变迁t的输入库所集合。t• = {p |O(p, t) ≥ 1}为变迁t的输出库所集合。
对于库所也有相应的概念，即•p = {t |O(p, t) ≥ 1}为库所p的输入变迁集合，
而p• = {t |I (p, t) ≥ 1}表示库所p的输出变迁集合。这个概念也可以扩展到集合上，
即对于一个集合S ⊆ P，•S是S中所有成员x对应集合•x的广义并，S •是S中所有
成员x对应集合x •的广义并，x ∈ S。
定义 2.3：时间Petri网在结构上被称为是一个自由选择网，当且仅当∀p ∈ P :
























识，分别表达为常量操作符 JM、MN ( )、F、O( )、Sigma( , )、P ( , )、L( )、B ( )
和 ST ( , )。
JM是车间所有机器的集合；对于所有的m ∈ JM，MN (m) ∈ Nat，表
示车间中机器m的数量（Nat是TLA+中的自然数集合表示）。F是作业
族的集合。工艺路线通过两个参数O( )和Sigma( , )共同表示：对于所有
的i ∈ F，O(i)的值为作业族i的工艺路线上的操作个数，O(i) ∈ Nat；对于所
有的i ∈ F和1 ≤ j ≤ O(i)，Sigma(i , j )的值为作业族i的工艺路线的第j个操作要
使用的机器，即Sigma(i , j ) ∈ JM。P (i , j )的值为加工时间，P (i , j ) ∈ Nat。对于所
有的i ∈ F，L(i)的值为作业族i的作业数目，L(i) ∈ Nat。B (i)的值为作业族i的
加工批量，B (i) ∈ Nat。对于所有的m ∈ JM和i ∈ F，ST (m, i)的值为机器m为加
工作业族i中的作业所需要的准备时间，ST (m, i) ∈ Nat。
2.3.3.2 时间Petri网






















Ts, Is, Os)、 RouteModeling(Ps, Ts, Is, Os)、 MachineModeling(Ps, Ts, Is,



















OperationModeling(Ps ,Ts , Is ,Os) ∆=
∧ Ts ′ = Ts ∪  {{[name 7→ pt(i , j ), delay 7→ P (i , j )]
: j ∈ 1..O(i)} : i ∈ F }
∧ Ps ′ = Ps ∪  {{[name 7→ bp(i , j ), token 7→ 〈〉] : j ∈ 1..O(i)} : i ∈ F }
∪  {{[name 7→ ap(i , j ), token 7→ 〈〉] : j ∈ 1..O(i)} : i ∈ F }
∧ Is ′ = Is ∪  {{[place 7→ bp(i , j ), trans 7→ pt(i , j ),weight 7→ B (i)]
: j ∈ 1..O(i)} : i ∈ F }
∧ Os ′ = Os ∪  {{[place 7→ ap(i , j ), trans 7→ pt(i , j ),weight 7→ B (i)]
: j ∈ 1..O(i)} : i ∈ F }
其中，函数pt(i , j )，bp(i , j )和ap(i , j )分别对应图 2.2中的pti ,j，bpi ,j和api ,j。这
三个函数是表示变迁或库所名的有序列表，定义为（◦是列表连接符）
pt(i , j ) ∆= 〈“pt ”〉 ◦ 〈i〉 ◦ 〈j 〉
bp(i , j ) ∆= 〈“bp ”〉 ◦ 〈i〉 ◦ 〈j 〉
ap(i , j ) ∆= 〈“ap ”〉 ◦ 〈i〉 ◦ 〈j 〉
动作OperationModeling表示，对于每一个作业族（i ∈ F）的每一个操
作（j ∈ 1..O(i)），向变迁集合Ts中添加名字域为pt(i , j )且时延域为P (i , j )的
一条记录；向局部状态集合Ps添加两条记录：一条记录的名字域为bp(i , j )，令
牌域为空列表，另一条记录的名字域为ap(i , j )，令牌域也为空列表；向输入弧集
合Is添加一条库所域为bp(i , j )、变迁域为pt(i , j )且权值域为 B (i)的记录；向输出






t ∈  {{[name 7→ pt(i , j ), delay 7→ P (i , j )] : j ∈ 1..O(i)} : i ∈ F }
≡∃i ∈ F : t ∈ {[name 7→ pt(i , j ), delay 7→ P (i , j )] : j ∈ 1..O(i)}
≡∃i ∈ F : (∃j ∈ 1..O(i) : t = [name 7→ pt(i , j ), delay 7→ P (i , j )])
可以看出，此 集合所包含的成员就是我们期望添加的所有变迁。
工艺路线建模操作符RouteModeling被解释为TLA+中的动作定义
RouteModeling(Ps ,Ts , Is ,Os) ∆=
∧ Is ′ = {  i ∆= x .trans[2] j ∆= x .trans[3] 
[place 7→  j > 0  ap(i , j − 1)  f (i),
trans 7→ x .trans ,
weight 7→ x .weight] : x ∈ Is}
∧ Ps ′ = {x ∈ Ps : Head (x .name) , “bp ”}
∪{[name 7→ f (i), token 7→ Insert(〈〉,L(i), 0)] : i ∈ F }
∧  〈Ts ,Os〉
从图 2.3 和图 2.4 中可以看出，工艺路线建模步骤只影响到输入弧集
合Is和局部状态集合Ps，而对变迁集合 Ts和输出弧集合Os没有影响，这一点
由 语句表达。对输入弧集合的影响由Is ′表示：对于每一条输入弧x，
设其变迁域表示的是作业族i的第j个操作（由名字pt(i , j )表示），则若是第1个




族i ∈ F，添加一个记录，其名字域为f (i)，令牌域为L(i)个0构成的有序列表（表










= ∨ (step = 0 ∧OperationModeling(Ps ,Ts , Is ,Os) ∧ step′ = 1)
∨ (step = 1 ∧ RouteModeling(Ps ,Ts , Is ,Os) ∧ step′ = 2)
∨ (step = 2 ∧MachineModeling(Ps ,Ts , Is ,Os) ∧ step′ = 3)
∨ (step = 3 ∧ SetupModeling(Ps ,Ts , Is ,Os) ∧ step′ = 4)















= ∀p ∈ Ps : ∨ Cardinality(PostSet(p)) ≤ 1































































替执行。发送方具有较高的优先级（不必等待接收方，如 start := true），而接收
方则使用条件判断（如 start == true）来等待发送信号的到达，当条件满足时执



































































设通过INPUTVAR声明了输入变量invar1, . . . , invarni；通过OUTPUTVAR声明
了输出变量outvar1, . . . , outvarno；通过SYSTEMVAR声明了系统变量sysvar1,




= 〈invar1, . . . , invarni 〉
OV
∆
= 〈outvar1, . . . , outno 〉
SV
∆










invar ′i ∈ ValRangei
此语义解释使用了变量类别这一领域知识。全环境模型通过描述PLC控








= ∨ ∧ aux = 0
∧ EnvInput
∧  SOV
∧ aux ′ = 1
∨ ∧ aux = 1
∧ SystemAction
∧  IV
∧ aux ′ = 0
其中SOV
∆








= ∨ ∧ aux = 0
∧ EnvInput
∧  SOV
∧ aux ′ = 1
∨ ∧ aux = 1
∧ SystemAction
∧  IV
∧ aux ′ = 2
∨ ∧ aux = 2
∧ ClearEnvInput
∧  SOV








本章总结的几种PLC领域验证需求都可通过不变式来描述，以 Inv (P ) 表
示。基于TLA+定义不变式的形式语义时，需要区分P是一个状态谓词或是
一个动作。若P表示一个状态谓词，则Inv (P ) ∆= 2(P )；若P表示一个动作，
则Inv (P ) ∆= 2[P ]vars，其中vars表示系统所有变量构成的元组。四类正确性验
证需求以及一类排错属性都是特殊形式的不变式，它们的操作符描述和形式语
义定义如下。









竞争属性 系统状态之间的竞争属性表达为操作符 Compete(Cond ,
State1, State2) ，表示在条件Cond下，系统状态State1和State2不能同时成立。
它的TLA+语义解释为
Compete(Cond , State1, State2)
∆
= 2(Cond ⇒ ¬(State1 ∧ State2))
33
第 2章 EDOLA的领域知识层研究和实现




Sequence(Act , SysState) ∆= 2[Act ⇒ SysState]vars
其中vars表示模型中所有变量组成的元组。
优先属性 通过操作符Priority(Act , SysState)表示，即对于用户定义的所有
系统动作，在SysState 定义的系统状态下， Act动作具有最高的优先级。它
的TLA+解释为
Priority(Act , SysState) ∆= 2(SysState ⇒ ∧  Act
∧ ¬ (OtherActions))
其中，OtherActions表示除 Act 之外的所有其它动作。此公式指定，在 SysState
成立的情况下，只有 Act 动作被使能而所有其它的系统动作都是非使能




































































































DurationBound (STRflag , t ,A, v ,min, lb,max , ub)
DurationUB (STRflag , t ,A, v ,max , ub)
DurationLB (t ,A, v ,min, lb)















IntervalBound (STRflag , t ,Acts ,B , v ,min, lb,max , ub)
IntervalUB (STRflag ,Acts ,B , v ,max , ub)
IntervalLB (Acts ,B , v ,min, lb)














Delay(A, time, t , v )
Deadline(A, time, t , v )
Timeout(A,B , time, t1, t2, v )




































NowNext(v ) ∆= ∧ now ′ ∈ {r ∈ Real : r > now }
∧  v
其中，now ′表示变量now在执行一个动作后，所得新状态中的值；Real代表所






RTFairness(v ) ∆= ∀r ∈ Real : WF now (NowNext(v ) ∧ (now ′ > r ))
其中，WFvar (A)形式的公式表示动作A上的弱公平性约束（Weak Fairness），它
在TLA+中的定义为：( 〈A〉var ⇒ 3〈A〉var )，含义为：若动作A被连续使















DurationBound (STRflag , t ,A, v ,min, lb,max , ub) ∆=
 TNext
∆
= t ′ =  〈A〉v ∨ ¬( 〈A〉v )′
 0
 t + (now ′ − now )
UpperBound
∆
=  STRflag = 
  ub  t ′ ≤ max  t ′ < max
 A⇒  ub  t ≤ max  t < max
LowerBound
∆
































DurationUB (STRflag , t ,A, v ,max , ub) ∆=
 TNext
∆
= t ′ =  〈A〉v ∨ ¬( 〈A〉v )′
 0
 t + (now ′ − now )
UpperBound
∆
=  STRflag = 
  ub  t ′ ≤ max  t ′ < max











DurationValue(STRflag , t ,A, v , val ) ∆=

















IntervalBound (STRflag , t ,Acts ,B , v ,min, lb,max , ub) ∆=
 TNext
∆
= t ′ =  〈B〉v ∨ ¬( 〈Acts ∨ B〉v )′
 0





=  STRflag = 
  ub  t ′ ≤ max  t ′ < max
 B ⇒  ub  t ≤ max  t < max
LowerBound
∆








为：A1, . . . ,An，则在使用操作符IntervalBound表达A和B之间的时间间隔约束
时，取Acts
∆































Deadline(A, time, t , v ) ∆= DurationUB (, t ,A, v , time, )
超时 Timeout操作符表示若一个动作A未在时间time之内执行，则执行另一动
作B。它可使用两个基本时间操作符定义为
Timeout(A,B , time, t1, t2, v ) ∆=
∧ DurationUB (, t1,A, v , time, )
∧ DurationValue(, t2,B , v , time)
也就是说，超时概念被解释为动作A和B上的两个约束。首先，要求若动



























1. ∀i ∈ Competitors : Timeout(Compete(i),BeeperRing , 5, t1, t2, vars)
2. Delay(BeeperRingFinish, 3, t3, vars)
3. ∀i ∈ Competitors :



































































































































量词形式进行限定：“∀v1 ∈ S1, . . . , vk ∈ Sk :”，其中S1, . . . , Sk 是表示约束变量取
值范围的集合。在图 4.1描述的实时组合框架中，借用了正则表达式中的标准符
号“?”表示可选（Optional），“|”符号表示选择（Choice），“+”符号表示一次或多
次重复。Ap 和 Aq 表示与时间约束相关的动作（DomainModule模块中定义）；ti







第 4章 EDOLA的验证支持层研究和实现? 4? EDOLA???????????
 RTmodule
 FuncModule,RealTimeNew , Sequences










= ∧(Next ∨ ( vars))
∧(NowNext(vars) ∨  now )
(∧(∀v1 ∈ S1, . . . , vk ∈ Sk )?
DurationBound (STRflag , ti ,Ap , vars ,min, lb,max , ubi )
| DurationUB (STRFlag , ti ,Ap , vars ,max , ub)
| DurationLB (ti ,Ap , vars ,min, lb)
| DurationValue(STRflag , ti ,Ap , vars , val )
| IntevalBound (STRflag , ti ,Aq ,Ap , vars ,min, lb,max , ub)
| IntervalUB (STRflag , ti ,Aq ,Ap , vars ,max , ub)
| IntervalLB (ti ,Aq ,Ap , vars ,min, lb)
| IntervalValue(STRflag , ti ,Aq ,Ap , vars , val )
| Delay(Ap , time, ti , vars)
| Deadline(Ap , time, ti , vars)
| Timeout(Ap ,Aq , time, ti , tj , vars)
| WaitUntil (Ap , Idle, time, ti , vars))+
RTvars
∆

















RTspec ⇒ Spec (4-1)
根据本章对编译框架的设计，此蕴含关系很容易得证。为证明公式 (4-1)，首
先将RTspec和Spec根据定义进行替换，从而得到
BigInit ∧2[BigNext]RTvars ∧ RTL (4-2)
⇒ Init ∧2[Next]vars ∧ L
为证明公式 (4-2)，只需证明以下三条公式即可
BigInit ⇒ Init
























Init ⇒ P , P ∧ Next ⇒ P ′, P ∧ v = v ′ ⇒ P ′

















(func, n, domL) 或 (pred , n, domL)
















对于一个基本的subTLA表达式 x ∈ S，根据S是否被量词所限定，有不同的转换
规则。第 4.4.2.1节将详细讲述这一点。
下面给出一个简单的例子来解释函数 Q。考虑表达式 e1 ⊆ e2，假设经过类
型推演，可得知e1和e2的类型信息都为一元谓词（参考第 4.4.2.1节)，即
TJ e1 K = TJ e2 K = (pred , 1, nil )















集合的编码规则 集合包含操作 ∈ 是集合论中的原始算符。在一阶逻辑中，一
般有两种方法对x ∈ Set进行编码
SJ x ∈ Set K =





达式 ∃S ⊆ R : P，其中 P 是一个谓词，若基于一元谓词对集合进行编码，会得到
SJ∃S ⊆ R : P K
= SJ∃S : (S ⊆ R) ∧ P K
= exists([S ], and (SJ S ⊆ R K,SJP K)
= exists([S ], and (forall ([x ], implies(SJ x ∈ S K,SJ x ∈ R K)),SJP K))
= exists([S ], and (forall ([x ], implies(S (x ),R(x ))),SJP K))
从最后一行可以看出，翻译结果中包含了对谓词符号S的量化，所以不再是
一个合法的一阶逻辑公式。这种情况下，我们采取第二种方法。也就是说，若
QJ S K = true，则将 x ∈ S 转换为 elem(x , S )。基于此策略，上面的例子可转换为
合法的一阶逻辑公式







4.4.1节介绍的基本转换知识，集合表达式 S 总是以 e ∈ S 的形式出现。这里介
绍subTLA中七种集合操作的类型推演规则以及到一阶逻辑的编码规则。
空集 Exp ::= {} Exp被定义为一个空集，其类型推演和转换规则很简单：
TJExp K = (pred , 1, nil ), SJ e ∈ {} K = false
集合枚举 Exp ::= {E1, . . . ,En} 此表达式定义一个成员为 E1, . . . ,En 的枚举集
合，其中n ≥ 1。根据它的语义，可直观得到其类型推演和转换规则
TJExp K = (pred , 1, nil ),
SJ e ∈ {E1, . . . ,En} K = or (SJ e = E1 K, . . . ,SJ e = En K)
基本的集合操作 基本的集合操作如 ∪, ∩和\，根据它们的语义，可以直接转换
为对应的布尔操作。例如
SJ e ∈ E1 \ E2 K = and (SJ e ∈ E1 K, not(SJ e ∈ E2 K))
集合约束 Exp ::= {Id ∈ E1 : E2} 此表达式定义了一个集合Exp，它是集合E1的
子集且集合成员必须满足谓词 E2（其中Id是标识符）。类型推演和转换规则为
TJExp K = TJE1 K,
TJE2 K = (pred , 0, nil ),
SJ e ∈ {Id ∈ E1 : E2} K = and (SJ e ∈ E1 K,SJE2 |Id←e K)
其中E2 |Id←e表示将E2中所有出现Id的位置，用e替换。




所有满足下面条件的值 e 所构成：存在Id1 ∈ E1, . . . , Idn ∈ En，使得e = Exp1。此
转换规则定义为
SJ e ∈ {Exp1 : Id1 ∈ E1, . . . , Idn ∈ En} K
= exists([Id1, . . . , Idn], and (SJ Id1 ∈ E1 K, . . . ,SJ Idn ∈ En K,SJ e = Exp1 K)),
QJ Id1 K = true,
. . .
QJ Idn K = true
幂集 Exp ::=  E1 由于e ∈  E1等价于e ⊆ E1，因此转换规则定义为
SJ e ∈  E1 K = SJ e ⊆ E1 K
广义并 Exp ::=  {Exp1 : Id1 ∈ E1, . . . , Idn ∈ En} TLA+表达式  S表
示S 的所有成员集合的并集。若考虑此一般情形，转换规则将被定义为




SJ e ∈  {Exp1 : Id1 ∈ E1, . . . , Idn ∈ En} K





函数表示 在subTLA中，函数 f 的定义域用  f 表示；定义域中的每个
成员 x 被映射为值f (x )。本章使用SPASS中的函数来表示subTLA的函数，因




fp(x , y) 成立当且仅当 x ∈  f 且 y = f (x )。函数的类型信息则被表示
为：TJ f K = (pred, 2, nil)。然而，此编码的一个缺点是需要为每一函数定义
一条公理，以声明函数值的唯一性。公理具有下面的形式： forall ([x , y1, y2],




表达式  f 是表示函数 f 定义域的集合，因此 TJ  f K = (pred, 1,
nil)。给定函数 f 的类型信息 TJ f K = (fund / pred , n, domL)，n > 0且 domL不为
空，则有：SJ  f K = SJHead (domL) K，其中 Head (l )返回列表 l 的第一个元
素。
下面分别对subTLA中包含的函数定义以及操作的转换规则进行介绍。
函数定义 Exp ::= [Id ∈ E1 7→ E2] 定义了一个函数 f，定义域为 E1，且对于任
一Id ∈ E1，f [Id ]的值等于E2（在subTLA中使用方括号表示函数作用）。考虑函
数定义出现在等号表达式右侧的情形（其它情形可以归结为这种情形），转换规
则定义为
SJ e = [Id ∈ E1 7→ E2] K
= forall ([x ], implies(SJ x ∈ E1 K,SJ e[x ] = E2 K))
且QJ x K = true，x 是转换过程生成的一个新量词变量。e和Exp的类型信息由 E2
的类型信息决定
TJ e K =TJExp K = (pred/func, n + 1,E1 :: domL),
给定TJE2 K = (pred/func, n, domL)
其中 ::表示列表连接符。





SJE1[e1, . . . , en] K = SJE1 K(SJ e1 K, . . . ,SJ en K)
TJExp K = (pred/func,m − n,Tail (domL, n)),
给定TJE1 K = (pred/func,m, domL)
其中m ≥ n，函数 Tail (l , n)返回列表l的尾（即删除前n个元素后得到的列表）。
函数重载 Exp ::= [Exp1  ![E1] = E ] 构造了一个函数Exp，它除了对
参数 E1 返回函数值 E 之外，和函数 Exp1完全相同。给定Exp1的类型信息
TJExp1 K = (pred/func, n, domL)，函数重载操作的转换规则定义为
SJ e = [Exp1  ![E1] = E ] K
= forall ([x ], implies(SJ x ∈ Head (domL) K,
and (implies(SJ x = E1 K,SJ e[x ] = E K),
implies(not(SJ x = E1 K),SJ e[x ] = Exp1[x ] K))))
表达式Exp的类型信息与Exp1完全相同：
TJExp K = TJExp1 K
此转换很容易一般化到多函数成员更新的情形。subTLA中函数重载的更一般的
形式为
[Exp1  ![e1,1] . . . [e1,n] = E1, . . . , ![ek ,1] . . . [ek ,n] = Ek ]
函数空间 Exp ::= [E1 → E2] 表示定义域为E1且值域为E2的函数集合。由
于Exp是一个集合，因此本章同样考虑e ∈ Exp的转换规则
SJ e ∈ Exp K = forall ([x ], implies(SJ x ∈ E1 K,SJ e[x ] ∈ E2 K))
QJ x K = true
61
第 4章 EDOLA的验证支持层研究和实现
函数相等 Exp ::= e = E1 表达式e和E1表示两个函数（可通过它们的类型信息
进行判断）。函数相等的转换是递归进行的，一次转换函数的一维
SJ e = E1 K = forall ([x ], implies(SJ x ∈ Head (domL) K,SJ e[x ] = E1[x ] K))
若 TJ e K = (pred/func, n, domL)





两个值可对应到SPASS中的值 true 和 false，因此  可被编码为有两
个成员的普通集合，从而对于表达式p, q ∈ ，转换规则为（以p为
例）：SJ p ∈  K =  (p) 或 SJ p ∈  K = elem( , p)，
而SJ p ∧ q K = and (equal (p, true), equal (q , true))。然而，它会给项替换（Term Sub-
stitution）带来更多可能性，因而在实践中效率很低。本章考虑了对 转
换规则的优化：当遇到表达式e ∈ 时，我们将 e 识别为一个命题，并进
行相应的处理。对于前面的例子，基于我们的转换方法，实际的转换结果为
SJ p ∈  K = true 且 SJ p ∧ q K = and (p, q)。
常量 Exp ::=  |  我们仅考虑逻辑常量出现在等号表达式右部的情
形（其它情形可以归结为这种情形），其转换规则和类型推演很容易理解
SJ e =  K = SJ e K
SJ e =  K = not(SJ e K)
TJ e K = TJExp K = (pred , 0, nil )
谓词等价 Exp ::= e = Exp1 已知 e或 Exp1的类型信息为：(pred , n, nil )，n ≥ 0，
转换函数 S区分 n = 0和 n > 0两种情况对谓词等价操作进行转换
1. SJ e = Exp1 K = equiv (SJ e K,SJExp1 K)
若 TJ e K = (pred , 0, nil )或 TJExp1 K = (pred , 0, nil )；
62
第 4章 EDOLA的验证支持层研究和实现
2. SJ e = Exp1 K = forall ([x1, . . . , xn], equiv (SJ e K(x1, . . . , xn),SJExp1 K(x1, . . . , xn)))
且 QJ x1 K = . . . = QJ xn K = true
若 TJ e K = (pred , n, nil )或 TJExp1 K = (pred , n, nil )，n ≥ 1。
有界量词 Exp ::= ∀ | ∃ Id1 ∈ E1, . . . , Idn ∈ En : Exp1 一阶逻辑中有（无界的）
全称和存在量词，因此只需将它们与有界集合按照第 4.4.2.1节给出的集合结构
转换规则进行关联即可。以有界全称量词为例，转换规则和类型推演定义为
SJ∀Id1 ∈ E1, . . . , Idn ∈ En : Exp1 K =
forall ([Id1, . . . , Idn], implies(and (SJ Id1 ∈ E1 K, . . . ,SJ Idn ∈ En K),SJExp1 K)),
QJ Id1 K = true
. . .
QJ Idn K = true











SJ e1 ≥ e2 K = ge(SJ e1 K,SJ e2 K)
SJ e1 ≤ e1 K = ls(SJ e1 K,SJ e2 K)
SJ e1 + e2 K = SJ e1 K + SJ e2 K










SJ e infixOp  e1  e2  e3 K =
and (implies(SJ e1 K,SJ e infixOp e2 K),
implies(not(SJ e1 K),SJ e infixOp e3 K))
TJ e1 K = (pred , 0, nil )
TJExp K = TJ e2 K = TJ e3 K
其中infixOp ∈ {∧,∨,⇒,≡,∩,∪, \, ∈ , < ,=,,,⊆≥,≥,≤,≤,+,−, ∗, /}，是subTLA的
一个中缀操作符。




SJ e infixOp  e1 → E1  . . . en → En   → En+1 K =
and (implies(SJ e1 K,SJ e infixOp E1 K),
. . . ,
implies(SJ en K,SJ e infixOp En K),
implies(and (not(SJ e1 K), . . . , not(SJ en K)),SJ e infixOp En+1 K))
TJ e1 K = . . . = TJ en K = (pred , 0, nil )








CHOOSE表达式 完整TLA+语言的  操作符有两种用法，无界的形
式： Id : E1，或有界的形式： Id ∈ E1 : E2，而后者可由无界的形式
定义出来，即 Id ∈ E1 : E2 ∆=  Id : (Id ∈ E1) ∧ E2，因此转换时仅考
虑无界的形式即可。
根据 操作符在TLA+中的语义，若命题 E1 是可满足的，则表达
式 Id : E1 的值是任一使得命题E1 成立的值v（当把E1中所有Id的出现
都替换为v时）；否则（即命题E1不可满足），此表达式将返回一完全任意的
值 [26]。若根据此语义，表达式的类型推演和转换规则可定义为
TJ  Id : E1 K = TJ Id K
TJE1 K = (pred , 0, nil )
SJ  Id : E1 K = Idnew
并伴随着一条公理
formula(and (implies(exists([Id ],SJE1 K),SJE1|Id←Idnew K),









1. Exp::=  Id : . 由于是不可满足的，所以第二条分支被选择。
转换规则为：SJExp K = ARBIT；
65
第 4章 EDOLA的验证支持层研究和实现
2. Exp::=  Id : Id ∈ {}. 由于空集中不包含任何元素，因此第二条分支被
选择，转换规则为：SJExp K = ARBIT；
3. Exp::=  Id : Id ∈ E1，其中 E1 非空。在这种情况下，存在变量Id，使
得Id属于集合E1，因此第一条分支被选择，转换规则定义为：SJExp K =
Idc，并伴随着一条公理：formula(SJ Idc ∈ E1|Id←Idc K).若此表达式是
第一次在subTLA模型中出现，则Idc表示一个新生成的标识符；否则 Idc表
示对其第一次出现时所定义标识符的引用。
4. Exp::=  Id : Id < E1. 由于在 Zermelo-Fra¨nkel集合论中，不存
在“包含了所有集合的集合”。因此任给一个集合，总是存在不属于这个
集合的元素，从而使得Id < E1可满足，所以第一条分支被选择，转换规








例如，一个subTLA模型中通过语句  Clients 声明了一个标识符Clients；
我们将其记录下来，但尚不能猜测关于Clients的任何类型信息。之后，通过对
整个模型的扫描，我们为Clients推演出它的类型信息，例如(pred , 1, nil )，进而
在SPASS中将其声明为一个一元谓词，形式为 predicates[(Clients , 1), . . .]。
subTLA的动作以及相关概念的公式定义具有形式 LeftF ∆= Exp ，其
中LeftF
∆
= Id | Id (Id1, . . . , Idn)。一条subTLA公式的转换，通过对其右部表达式
进行转换，并在SPASS中添加相应的声明来实现。具体来说，公式LeftF ∆= Exp的
转换，对应于SPASS的一条公式





































































































EDOLA-module ::=      AtLeast4("-")  MODULE  ModuleName  (AtLeast4("-") 
                      ( nil  |  EXTENDS  CommaList( ModuleName) ) 
                      GeneralDef 
Declarations  
ActionDef 
                      Constraints 
           Properties 
                      AtLeast4("=") 
GeneralDef ::= nil  |  ( formula )* 
Formula ::= LeftF  '= ='  Exp 
LeftF ::= Name  |  Name  “(”  CommaList(ID)  “)” 
Declarations ::=     ConstDeclarations    VarDeclarations 
ConstDeclarations ::= CONSTANT CommaList ( OpDec ) 
OpDec ::= ConstName  |  ConstName  “(”  CommaList(“_”)  “)”  
VarDeclarations ::=   INPUTVAR  varDecList 
                  OUTPUTVAR  varDecList 
                  SYSTEMVAR  varDecList 
varDecList ::= CommaList ( varTypeDes ) 
varTypeDes ::= varName \in Exp 
ActionDef ::=     INIT  formula 
                ACTION  ActionList 
                SPEC  SpecName 
ActionList ::=  ( Formula )+ 
Constraints ::=      EnvConstraint 
                 ( nil | TimeConstraints ) 
EnvConstraint ::=    ENV  TOTAL 
                |  ENV  ( Formula )+ 
TimeConstraints ::= TIME ( Duration | Interval | Delay | Deadline | Timeout | WaitUntil ) + 
Duration ::= (Quantif)? DURATION 
BOUND (STRFlag, TimerName, ActRef, minVal, LowerFlag, maxVal, UpperFlag) 
         |  UB (STRFlag, TimerName, ActRef, maxVal, UpperFlag) 
  |  LB (TimerName, ActRef, minVal, LowerFlag) 
  |  VALUE (STRFlag, TimerName, ActRef, Val) 
Interval ::= (Quantif)? INTERVAL 
BOUND (STRFlag, TimerName, ActRef, ActRef, minVal, LowerFlag, maxVal, UpperFlag) 
         |  UB (STRFlag, TimerName, ActRef, ActRef, maxVal, UpperFlag) 
  |  LB (TimerName, ActRef, ActRef, minVal, LowerFlag) 










Delay ::= (Quantif)? DELAY (ActRef, Val, TimerName) 
Deadline ::= (Quantif)? DEADLINE ( ActRef, Val, TimerName) 
Timeout ::= (Quantif)? TIMEOUT (ActRef, ActRef, Val, TimerName, TimerName) 
WaitUntil ::= (Quantif)? WAITUNTIL ( ActRef, IdleName, Val ) 
Quantif ::= ( \A | \E) CommaList ( Name \in SetName )  “:” 
ActRef ::= ActName  |  ActName  “(”  CommaList(ID)  “)” 
Properties ::=  PROP  ( Debug  | ToProof ) 
Debug ::= DEBUG  PropName: (Quantif)? ActRef 
ToProof   ::=  TOPROOF ( Respond | Compete | Sequence | Priority | StateInv | ActInv )* 
Respond ::= PropName “:”  (Quantif)? RESPOND (ActRef, EnvState, SysState) 
Compete ::= PropName “:”  (Quantif)? COMPETE ( CondExp,  SysState, SysState ) 
Sequence ::= PropName “:”  (Quantif)? SEQUENCE (ActRef, sysState) 
Priority ::=  PropName “:”  (Quantif)? PRIORITY (ActRef , SysState)  
StateInv ::=  PropName “:”  (Quantif)? STATEINV (SysState) 
ActInv ::=  PropName “:” (Quantif)? ACTINV (ActRef) 
EnvState ::= Exp 
SysState ::= Exp 
STRFlag ::= TRUE | FALSE 
LowerFlag ::= TRUE | FALSE 
UpperFlag ::= TRUE | FALSE 
ModuleName ::= ID 
Name ::= ID 
ActName ::= ID 
SetName ::= ID 
TimerName ::= ID 
IdleName ::= ID 
Val ::= DIGIT 
minVal ::= DIGIT 




















为带参动作时，由 Quantif 给出参数的取值范围。各个参数与它们在第 3章中的
解释完全相同，唯一的区别在于，EDOLA-PLC描述中不再需要给出参数v，它将
由EDOLA-PLC的编译器自动生成。

















































































































































































• 待处理文件（如control .tla）通过JavaCC生成的tla2spass .java进入转换流
程，被javaCC解析为一个树形结构，同时保存对应变量的类型，并完成类
型推演工作；






• tla2spassGenerator .java 和 tlas2spassTranslator .java 两个文件都需用到
78
第 5章 EDOLA-PLC的原型设计和工具实现
SimpleNode 类、Type 类和 SimpleTable 类来保存信息。
模型转换的命令执行过程为：
1. jjTree tla2spass .jjt 执行JJTree预处理，生成tla2spass .jj文件以及抽象语法
树对应的一组辅助.java文件；
2. javacc tla2spass .jj 执行javaCC工具，生成tla2spass .java文件以及语法分析
过程的辅助.java文件；
3. javac ∗ .java 编译所有的java文件，得到可执行的.class文件；

























































































动：(1)开启电源（按下power 按钮）；(2)启动水泵（按下 openpump 按钮）；(3)
选择要进行灭火的泊位 berth1或 berth2；(4)确认选择（按下 confirm 按钮）；(5)
移动操作杆以改变消防炮的方向进行灭火。
码头消防结束后，用户应执行如下系列动作以结束控制：(6)关闭水泵（按


































PLC从基语言TLA+中继承而来的优点：抽象描述能力。 CannonInCase( ) 和
BelongTo( )是常函数，CannonInCase(c) = i 表示消防炮 c 可在消防工况 i 中使





FireCase = {“berth1”, “berth2”}
Cannon = {“cannon1”, “cannon2”}




















u button ∈ [Button →  ]





s buttonLight ∈ [ButtonLight →  ]
s cannonLight = [Cannon →  ]
s handle = [Cannon → Direction]















StateSet == {“init”, “power”, “openpumpSent”, “pumpopened”, “selected”,
“cannonOnUse”, “closepumpSent”, “pumpclosed”}
Direction == {“up”, “down”, “left”, “right”, “none”}
SelfLockedButton == {“power”}
UnlockedButton == {“openpump”, “closepump”, “confirm”, “cancel”} ∪ FireCase
Button == SelfLockedButton ∪ UnlockedButton













= ∧ u button = [i ∈ Button 7→ ]
∧ u handle = “none”
∧ realPump = 
∧ s sysState = “init”
∧ s buttonLight = [i ∈ ButtonLight 7→ ]
∧ s cannonLight = [i ∈ Cannon 7→ ]
∧ s handle = [i ∈ Cannon 7→ “none”]
∧ valve = [i ∈ Valve 7→ ]
∧ pumpCtl = 






PowerUp == . . .
OpenPump == . . .
PumpLightOn == . . .
Alarm == . . .
AlarmReset == . . .
86
第 6章 EDOLA-PLC语言的应用实例
∃i ∈ FireCase : SelectCase(i) == . . .
Confirm == . . .
ResponseHandle == . . .
ClosePump == . . .
PumpLightOff == . . .
Cancel == . . .





∧ s sysState = “power”
∧ u button[“power”]
∧ u button[“openpump”]
∧ ∀i ∈ UnlockedButton : i , “openpump”⇒ ¬u button[i]
∧ pumpCtl ′
∧ s sysState ′ = “openpumpSent”
其中，由合取符连接的前4行，表达了动作 OpenPump 的使能条件；第5至6行表
达了执行此动作所带来的效果。具体来讲，当系统处于“power”状态（第1行）、


















TIMEOUT(OpenPump,Alarm, 5, t1, t2)，其中t1和t2是两个动作所对应的时
钟名；蜂鸣器持续响3秒的实时约束可通过 DELAY 操作符表示，描述为

























RESPOND( SelectCase(i),∀i ∈ FireCase : u button[i],




CaseSelectOnlyOne : ∀i ∈ Firecase, j ∈ Firecase :
COMPETE( i , j , s buttonLight[i], s buttonLight[j ] )
4. 消防炮使用的唯一性 码头消防实例中，同一时刻最多只有一个消防炮在用
于消防灭火行动。此性质同样属于竞争属性，表示为
CannonUsedOnlyByOne : ∀i ∈ Cannon, j ∈ Cannon :




ValveMutex : ∀i ∈ Valve, j ∈ Valve :
COMPETE(BelongTo(i) , BelongTo(j ), valve[i], valve[j ] )
89
第 6章 EDOLA-PLC语言的应用实例





SEQUENCE(OpenPump, s buttonLight[”power”] )
7. 消防工况选择与水泵开启的顺序性 另一个顺序属性的例子是消防工况选
择动作只能在水泵已开启的情况下才能被执行。与属性 6类似，表达为
SelectAfterOpenPump : ∀i ∈ FireCase :
SEQUENCE( SelectCase(i), s buttonLight[”pump”] )
即消防工况i仅在水泵的指示灯亮（从而水泵已开启）之后才能被选择。

























u button, u handle, realPump,





= ∧ u button ∈ [Button →  ]
∧ u handle ∈ Direction
∧ realPump ∈ 
∧ s buttonLight ∈ [ButtonLight →  ]
∧ s cannonLight ∈ [Cannon →  ]
∧ s handle ∈ [Cannon → Direction]
∧ s sysState ∈ StateSet
∧ valve ∈ [Valve →  ]
∧ pumpCtl ∈ 
∧ alarm ∈ 
















∧ s sysState = “power”
∧ u button[“power”]
∧ u button[“openpump”]
∧ ∀i ∈ UnlockedButton : i , “openpump”⇒ ¬u button[i]
∧ pumpCtl ′
∧ s sysState ′ = “openpumpSent”















环境重置动作 ClearEnvInput 的版本（参见第 2.4.4.3节的介绍）
Next
∆
= ∨ ∧ aux = 0
∧ EnvInput
∧  SOV
∧ aux ′ = 1
∨ ∧ aux = 1
∧ SystemAction
∧  IV
∧ aux ′ = 2
∨ ∧ aux = 2
∧ ClearEnvInput
∧  SOV





= 〈s sysState, s buttonLight , s cannonLight , s handle, valve, pumpCtl , alarm〉
IV
∆


















































1 CheckPowerUp ∆= 2[¬PowerUp]vars
2 CheckOpenPump ∆= 2[¬OpenPump]vars
3 CheckPumpLightOn ∆= 2[¬PumpLightOn]vars
4 CheckAlarm ∆= 2[¬Alarm]vars
5 CheckAlarmReset ∆= 2[¬AlarmReset]vars
6 CheckSelectCases ∆= 2[¬(∃i ∈ FireCase : SelectCase(i ))]vars
7 CheckConfirm ∆= 2[¬Confirm]vars
8 CheckResponseHandle ∆= 2[¬ResponseHandle]vars
9 CheckClosePump ∆= 2[¬ClosePump]vars
10 CheckPumpLightOff ∆= 2[¬PumpLightOff ]vars
11 CheckCancel ∆= 2[¬Cancel ]vars
12 CheckPowerDown ∆= 2[¬PowerDown]vars
对于所有正确性属性，我们期望TLC返回结果为 。第 6.3.5节码头消防
实例的 8条正确性属性，全部成功通过了TLC的验证，返回结果为真。此过程










其中，Init 和 Next 以及 vars 的定义与前面的介绍完全相同。从而，EDOLA-
PLC的规范说明 SPECControl 被编译为一个新的subTLA模块RTdock，定义如








extends DomainControl , RealTimeNew , Sequences
variable t1, t2, t3
BigInit ∆= ∧ Init
∧ now = 0
∧ t1 = 0
∧ t2 = 0
∧ t3 = 0
F PumpLightOn ∆= ∧ aux = 1
∧ PumpLightOn
∧ aux ′ = 2
∧ unchanged IV
F Alarm ∆= ∧ aux = 1
∧Alarm
∧ aux ′ = 2
∧ unchanged IV
F AlarmReset ∆= ∧ aux = 1
∧Alarm
∧ aux ′ = 2
∧ unchanged IV
BigNext ∆= ∧ (Next ∨ unchanged vars)
∧ (NowNext(vars) ∨ now ′ = now)
∧ Timeout(F PumpLightOn, F Alarm, 5, t1, t2, vars)
∧Delay(F AlarmReset , 3, t3, vars)
RTvars ∆= 〈t1, t2, t3, now〉 ◦ vars
RTL ∆= RTFairness(vars)






























在表 6.2中，Inv ∆= (s sysState = “power”) ⇒ s buttonLight[“power”]。由







1. ClosePumpNotRespond 成立 12.4秒
2. SelectCaseNotRepsond 成立 10.6秒
3. CaseSelectOnlyOne 成立 1分33秒
4. CannonUsedOnlyByOne 成立 39.2秒
5. ValveMutex 成立 18分33秒
6. OpenPumpAfterPower 成立 1分37秒
OpenPump ⇒ s buttonLight[“power”] 不成立 17.2秒
Inv 成立 1分26秒
OpenPump ∧ Inv ⇒ s buttonLight[“power”] 成立 10.3秒
7. SelectAfterOpenPump 成立 1分49秒
8. ClosePowerAlwaysRespond 成立 16.2秒
式来完成证明。以属性 OpenPumpAfterPower 为例，当试图证明OpenPump ⇒
s buttonLight[“power”] 时，SPASS的证明结果显示此公式不成立。经过分析，
我们发现原因在于该公式的前提 OpenPump 并未指定变量 s sysState 和
s buttonLight 之间的关系。因此，这里首先验证一个表明这两个变量之间关系的


















































s buttonLight ′ = [j ∈ ButtonLight 7→  j < FireCase
 s buttonLight[j ]





































































































































[1] Clarke E M, Grumberg O, Peled D. Model Checking. The MIT Press, 1999.
[2] The NuSMV homepage: http://nusmv.irst.itc.it/.
[3] The Spin homepage: http://spinroot.com/spin/whatispin.html.
[4] The UPPAAL homepage: http://www.uppaal.com/.
[5] The Coq homepage: http://Coq.INRIA.fr/.
[6] The Isabelle homepage: http://www.cl.cam.ac.uk/research/hvg/Isabelle/.
[7] Nieuwenhuis R, Oliveras A, Tinelli C. Solving SAT and SAT Modulo Theories: From
an abstract Davis–Putnam–Logemann–Loveland procedure to DPLL(T). Journal of ACM,
2006, 53(6):937–977.
[8] The Z3 homepage: http://research.microsoft.com/en-us/um/redmond/projects/z3/.
[9] The CVC3 homepage: http://www.cs.nyu.edu/acsys/cvc3/.
[10] The SPASS homepage: http://www.spass-prover.org/index.html.
[11] Emerson E A, Halpern J Y. “Sometimes” and “not never” revisited: on branching versus
linear time temporal logic. J. ACM, 1986, 33(1):151–178.
[12] Taha W. Plenary talk III Domain-specific languages. Proceedings of Computer Engineering
& Systems, 2008. ICCES 2008. International Conference on, 2008. xxiii–xxviii.
[13] Bowen J P, Hinchey M G. Ten Commandments of Formal Methods ...Ten Years Later.
Computer, 2006, 39(1):40–48.
[14] Hall A. Seven Myths of Formal Methods. IEEE Softw., 1990, 7(5):11–19.
[15] Ghezzi C, Jazayeri M, Mandrioli D. Fundamentals of Software Engineering. Prentice Hall,
2nd edition, 2000.
[16] Alur R, Dill D L. A theory of timed automata. Theoretical Computer Science, 1994,
126(2):183–235.
[17] Peterson J L. Petri Net Theory and the Modeling of Systems. Upper Saddle River, NJ, USA:
Prentice Hall PTR, 1981.
[18] Lightfoot D. Formal Specification using Z. Macmillan, 1991.
[19] Abrial J R. The B book - Assigning Programs to Meanings. Cambridge University Press,
1996.
[20] Bo¨rger E, Sta¨rk R F. Abstract State Machines—A Method for High-Level System Design
and Analysis. Springer-Verlag, 2003.
105
参考文献
[21] Budkowski S, Dembinski P. An introduction to Estelle: a specification language for dis-
tributed systems. Comput. Netw. ISDN Syst., 1987, 14(1):3–23.
[22] The CASL homepage: http://www.informatik.uni-bremen.de/cofi/wiki/index.php/CASL.
[23] Logrippo L, Faci M, Haj-Hussein M. An introduction to LOTOS: learning by examples.
Comput. Netw. ISDN Syst., 1992, 23(5):325–342.
[24] Habrias H, Frappier M. Software Specification Methods. Wiley-ISTE, 2006.
[25] The Promela language: http://www.dai-arc.polito.it/dai-arc/manual/tools/jcat/main/
node168.html.
[26] Lamport L. Specifying Systems. Addison-Wesley, 2002.
[27] Chaochen Z, Hansen M R. Duration Calculus: A formal Approach to Real-time systems.
Monographs in Theoretical Computer Science, 2004.
[28] Jifeng H, Li X, Liu Z. rCOS: a refinement calculus of object systems. Theoretical Computer
Science, 2006, 365(1-2):109–142.
[29] He J. Linking Semantic Models. Proceedings of Proceedings of 4th International Collo-
quium on Theoretical Aspects of Computing(ICTAC 2007), 2007. 26–28.
[30] Lin H. PAM: A Process Algebra Manipulator. Formal Methods in System Design, 1995,
7(3):243–259.
[31] Lin H. Predicate µ-Calculus for Mobile Ambients. J. Comput. Sci. Technol., 2005,
20(1):95–104.
[32] Kitamura T, Lin H. Specifying Properties for Modular Pi-Calculus. Proceedings of Second
IEEE/IFIP International Symposium on Theoretical Aspects of Software Engineering. IEEE
Computer Society, 2008. 201–208.
[33] 王戟. 混成实时系统形式化开发方法和技术的研究[D]. 长沙: 国防科技大学, 1995.
[34] Kamin S N, Hyatt D. A special-purpose language for picture-drawing. Proceedings of
DSL’97: Proceedings of the Conference on Domain-Specific Languages on Conference on
Domain-Specific Languages (DSL), 1997, Berkeley, CA, USA: USENIXAssociation, 1997.
23–23.
[35] Preuer S. A domain-specific language for industrial automation. Proceedings of Software
Engineering (Workshops), volume 106 of LNI, 2007. 349–352.
[36] Kumar S, Mandelbaum Y, Yu X, et al. ESP: a language for programmable devices. Proceed-
ings of PLDI ’01: Proceedings of the ACM SIGPLAN 2001 conference on Programming
language design and implementation, New York, NY, USA: ACM, 2001. 309–320.
[37] Delaval G, Rutten E. A domain-specific language for task handlers generation, applying
discrete controller synthesis. Proceedings of SAC ’06: Proceedings of the 2006 ACM sym-
posium on Applied computing, New York, NY, USA: ACM, 2006. 901–905.
106
参考文献
[38] Chandra S, Richards B, Larus J R. Teapot: A Domain-Specific Language for Writing Cache
Coherence Protocols. IEEE Trans. Softw. Eng., 1999, 25(3):317–333.
[39] Atkins D L, Ball T, Bruns G, et al. Mawl: A Domain-Specific Language for Form-Based
Services. IEEE Trans. Software Eng., 1999, 25(3):334–346.
[40] Voellmy A, Hudak P. Nettle: A Language for Configuring Routing Networks. Proceed-
ings of Domain-Specific Languages, IFIP TC 2 Working Conference, DSL 2009, Oxford,
UK, July 15-17, 2009, Proceedings, volume 5658 of Lecture Notes in Computer Science.
Springer, 2009. 211–235.
[41] Consel C. Domain-Specific Program Generation; International Seminar, Dagstuhl Castle.
Number 3016 in Lecture Notes in Computer Science, State-of-the-Art Survey. Springer-
Verlag, 2004: 19–29.
[42] Consel C, Re´veille`re L. Domain-Specific Program Generation; International Seminar,
Dagstuhl Castle. Number 3016 in Lecture Notes in Computer Science, State-of-the-Art
Survey. Springer-Verlag, 2004: 165 – 179.
[43] Spinellis D. Notable Design Patterns for Domain Specific Languages. Journal of Systems
and Software, 2001, 56(1):91–99.
[44] Deursen A, Klint P, Visser J. Domain-specific languages: an annotated bibliography. ACM
SIGPLAN Notices, 2000, 35(6):26–36.
[45] Mernik M, Heering J, Sloane A M. When and how to develop domain-specific languages.
ACM Computing Survey, 2005, 37(4):316–344.
[46] Gray J, Fisher K, Consel C, et al. DSLs: the good, the bad, and the ugly. Proceedings of
OOPSLA Companion ’08: Companion to the 23rd ACM SIGPLAN conference on Object-
oriented programming systems languages and applications, New York, NY, USA: ACM,
2008. 791–794.
[47] The UML homepage: http://www.uml.org/.
[48] Sztipanovits J, Karsai G. Model-Integrated Computing. Computer, 1997, 30(4):110–111.
[49] Porter J, Lattmann Z, Hemingway G, et al. The ESMoL Modeling Language and Tools
for Synthesizing and Simulating Real-Time Embedded Systems. Proceedings of 15th IEEE
Real-Time and Embedded Technology and Applications Symposium, San Francisco, CA,
2009.
[50] Tolvanen J P. Domain-Specific Modeling and Code Generation for Product Lines. Pro-
ceedings of SPLC ’06: Proceedings of the 10th International on Software Product Line
Conference, Washington, DC, USA: IEEE Computer Society, 2006. 229.
[51] Tolvanen J P, Kelly S. Defining Domain-Specific Modeling Languages to Automate Product
Derivation: Collected Experiences. Proceedings of Proceedings of the 9th International
Conference on Software Product Lines, SPLC 2005. Springer, 2005. 198–209.
107
参考文献
[52] Tolvanen J P. Making model-based code generator work - practical examples. Embedded
Systems Europe, 2005, 64(9):38–41.
[53] OMG EAI: http://www.omg.org/spec/EAI/index.htm.
[54] OMG MARTE: http://www.omgmarte.org/.
[55] Risoldi M, Buchs D. A domain specific language and methodology for control systems GUI
specification, verification and prototyping. Proceedings of VLHCC ’07: Proceedings of the
IEEE Symposium on Visual Languages and Human-Centric Computing, Washington, DC,
USA: IEEE Computer Society, 2007. 179–182.
[56] Bodeveix J P, Filali M, Lawall J, et al. Formal Methods Meet Domain Specific Languages.
In: J Romijn G S, Pol J, (eds.). Proceedings of Fifth International Conference on Inte-
grated Formal Methods, volume 3771 of Lecture Notes in Computer Science, Eindhoven,
The Netherlands, 2005. 187–206.
[57] Bodeveix J P, Filali M, Lawall J, et al. Applying the B formal method to the Bossa domain-
specific language. Proceedings of The 17th Nordic Workshop on Programming Theory
(NWPT’05), Copenhagen, Denmark, 2005. 35–38.
[58] Latry F, Mercadal J, Consel C. Staging Telephony Service Creation: A Language Ap-
proach. Proceedings of in Principles, Systems and Applications of IP Telecommunications,
IPTComm, New-York, NY, USA: ACM Press, 2007.
[59] 张乃孝,琚小明,孙猛. Garden: 一种面向领域语言的集成开发环境. 中国科学（E辑：
信息科学）, 2008, 38(12):2084–2098.
[60] 范少峰. 面向语言的领域语言开发方法研究[D]. 北京: 北京大学, 2006.
[61] 陈斌. GarAda系统的设计与实现[M]. 北京: 北京大学, 2001.
[62] 陈旭盛. 领域语言VERT的设计及变换型实现[M]. 北京: 北京大学, 2001.
[63] 张迎春,黄林鹏. upDSL :一种描述动态更新策略的领域特定语言. 微电子学与计算机,
2008, 25(10):34–39.
[64] 宋柱梅,迪. 基于MIC理论构建嵌入式装备控制领域建模语言的研究. 制造业自动化,
2005, 27(12):46–49.
[65] 周艳明. 基于领域专用语言的应用软件自动生成. 计算机工程与应用, 2003, (10):124–
127.
[66] 王成, 孟晨. 面向自动测试系统领域语言的设计与实现. 军械工程学院学报, 2007,
19(5):42–45.
[67] 李英军,刘鸿儒. SEIS++ : 一个油气勘探领域软件建造和集成的模式语言. 计算机学
报, 2000, 23(1):102–107.
[68] 王爱菊. 面向银行信贷业务领域语言的研究和应用[M]. 北京: 哈尔滨工程大学, 2007.
108
参考文献
[69] Abadi M, Lamport L, Merz S. A TLA solution to the RPC-Memory specification problem.
Proceedings of Formal Systems Specification: The RPC-Memory Specification Case Study.
SpringerVerlag, 1996. 21–66.
[70] Merz S. TLA+ Case Study: A Resource Allocator. Rapport de recherche, LORIA, August,
2004. http://www.loria.fr/publications/2004/A04-R-101/A04-R-101.ps.
[71] Grov G, Michaelson G, Ireland A. Formal verification of concurrent scheduling strategies
using TLA. Proceedings of ICPADS ’07: Proceedings of the 13th International Conference
on Parallel and Distributed Systems, 2007. 1–6.
[72] Lamport L. The temporal logic of actions. ACM Transactions on Programming Languages
and Systems, 1994, 16(3):872– 923.
[73] Lewis R. Programming industrial control systems using IEC 1131-3,volume 50 of Control
Engineering Series. Stevenage, United Kingdom: The Institution of Electrical Engineers,
1998.
[74] Bonfatti F, Monari P, Sampieri U. IEC 1131-3 Programming Methodology. Fontaine,
France: CJ International, 1999.
[75] Rausch M, Krogh B H. Formal verification of PLC programs. Proceedings of Proceedings
of American Control Conference 1998., volume 1, 1998. 234–238.
[76] Mertke T, Frey G. Formal Verification of PLC-programs generated from Signal Interpreted
Petri Nets. Proceedings of Proceedings of the SMC 2001, Tucson (AZ) USA, 2001. 2700–
2705.
[77] Jime´nez-Fraustro F, Rutten E. A Synchronous Model of IEC 61131 PLC Languages in
SIGNAL. Proceedings of ECRTS ’01: Proceedings of the 13th Euromicro Conference on
Real-Time Systems, Washington, DC, USA: IEEE Computer Society, 2001. 135.
[78] RWang, XSong, Gu M. Modelling and verification of program logic controllers using timed
automata. IET Software, 2007, 4:127–131.
[79] Wan H, Chen G, Song X, et al. Formalization and Verification of PLC Timers in Coq.
Computer Software and Applications Conference, Annual International, 2009, 1:315–323.
[80] Zhou M, He F, Gu M, et al. Translation-Based Model Checking for PLC Programs. Com-
puter Software and Applications Conference, Annual International, 2009, 1:553–562.
[81] Zhang H, Merz S, Gu M. Specifying and Verifying PLC Systems with TLA+. Theoretical
Aspects of Software Engineering, Joint IEEE/IFIP Symposium on, 2009, 0:293–294.
[82] Pressman R S. Software Engineering : A Practitioner’s Approach (4th Edition). McGraw-
Hill, 1997.
[83] Simos M A. Organization domain modeling (ODM): formalizing the core domain modeling
life cycle. SIGSOFT Softw. Eng. Notes, 1995, 20(SI):196–205.
109
参考文献
[84] Kang K C, Cohen S G, Hess J A, et al. Feature-oriented domain analysis (FODA) feasibility
study. Technical report, Software Engineering Institute, Carnegie Mellon Univeristy, 1990.
[85] Taylor R N, Tracz W, Coglianese L. Software development using domain-specific software
architectures. SIGSOFT Softw. Eng. Notes, 1995, 20(5):27–38.
[86] Coplien J, Hoffman D, Weiss D. Commonality and Variability in Software Engineering.
IEEE Softw., 1998, 15(6):37–45.
[87] Pnueli A. The Temporal Logic of Programs. Proceedings of Proceedings of 18th Annual
Symposium on Foundations of Computer Science, 1977. 46–57.
[88] Gabbay D M, Pnueli A, Shelah S, et al. On the Temporal Basis of Fairness. Proceedings of
POPL, 1980. 163–173.
[89] Dwyer M B, Avrunin G S, Corbett J C. Property specification patterns for finite-state verifi-
cation. Proceedings of FMSP ’98: Proceedings of the second workshop on Formal methods
in software practice, New York, NY, USA: ACM, 1998. 7–15.
[90] Dwyer M B, Avrunin G S, Corbett J C. Patterns in property specifications for finite-state
verification. Proceedings of ICSE ’99: Proceedings of the 21st international conference on
Software engineering, New York, NY, USA: ACM, 1999. 411–420.
[91] Corbett J C, Dwyer M B, Hatcliff J, et al. A Language Framework for Expressing Checkable
Properties of Dynamic Software. Proceedings of Proceedings of the 7th International SPIN
Workshop on SPIN Model Checking and Software Verification, London, UK: Springer-
Verlag, 2000. 205–223.
[92] Yi Y, Wang D W. Soft computing for scheduling with batch setup times and earliness-
tardiness penalties on parallel machines. Journal of Intelligent Manufacturing, 2003,
14(3):311–322.
[93] Kim D W, Kim K H, Jang W, et al. Unrelated parallel machine scheduling with setup times
using simulated annealing. Robotics and Computer-Integrated Manufacturing, 2002, 18(3-
4):223–231.
[94] Hillion H P, Proth J M. Using timed Petri nets for the scheduling of job-shop systems.
Engineering Costs and Production Economics, 1989, 17(1-4):149–154.
[95] Wang L C, Wu S Y. Modeling with colored timed object-oriented Petri nets for automated
manufacturing systems. Computers and Industrial Engineering, 1998, 34(2):463–480.
[96] Christian A, Francois R. A Petri net model and a general method for on and off-line multi-
resource shop floor scheduling with setup times. International Journal of Production Eco-
nomics, 2001, 74(1-3):63.
[97] Zhang W, Freiheit T, Yang H. Dynamic scheduling in flexible assembly system based on




[98] Kim Y W, Suzuki T, Narikiyo T. FMS scheduling based on timed Petri Net model and
reactive graph search. Applied Mathematical Modelling, 2007, 31(6):955–970.
[99] R L Graham J K L, Kan A H G R. Optimization and approximation in deterministic se-
quencing and scheduling: a survey. Annals of Discrete Mathematics, 1979, 5:287–326.
[100] Bowden F D. A brief survey and synthesis of the roles of time in Petri nets. Mathematical
and Computer Modelling, 2000, 31(10-12):55–68.
[101] Murata T. Petri Nets: Properties, Analysis and Applications. Proceedings of Proceedings of
the IEEE, 1989. 541–580.
[102] 何衍庆. 常用PLC应用手册. 电子工业出版社, 2008.
[103] 胡学林. 可编程控制器原理与应用. 电子工业出版社, 2007.
[104] Manna Z, Pnueli A. A hierarchy of temporal properties (invited paper, 1989). Proceedings
of PODC ’90: Proceedings of the ninth annual ACM symposium on Principles of distributed
computing, New York, NY, USA: ACM, 1990. 377–410.
[105] Singhal A. Real Time Systems: A Survey, 1996.
[106] Lee E A. Embedded Software. Proceedings of Advances in Computers. Academic Press,
2002.
[107] Schneider S. Concurrent and Real-time Systems: the CSP Approach. John Wiley & Sons,
2000.
[108] Le´onard L, Leduc G. An introduction to ET-LOTOS for the description of time-sensitive
systems. Comput. Netw. ISDN Syst., 1997, 29(3):271–292.
[109] Merlin P, Farber D. Recoverability of Communication Protocols–Implications of a Theoret-
ical Study. IEEE Transactions on Communications, 1976, 24(9):1036–1043.
[110] Mahony B, Dong J S. Timed Communicating Object Z. IEEE Transactions on Software
Engineering, 2000, 26(2):150–177.
[111] Konrad S, Cheng B H C. Real-time specification patterns. Proceedings of ICSE ’05: Pro-
ceedings of the 27th international conference on Software engineering, New York, NY,
USA: ACM, 2005. 372–381.
[112] Dong J S, Hao P, Qin S, et al. Timed Automata Patterns. IEEE Transactions on Software
Engineering, 2008, 34(6):844–859.
[113] Abadi M, Lamport L. An old-fashioned recipe for real time. ACM Transactions on Pro-
gramming Languages and Systems., 1994, 16(5):1543–1571.
[114] Leβke F, Merz S. Steam boiler control specification problem: A TLA solution. Proceedings
of Formal Methods for Industrial Applications, Specifying and Programming the Steam
Boiler Control, London, UK: Springer-Verlag, 1996. 339–358.
111
参考文献
[115] Liu Z, Joseph M. Verification of Fault-Tolerance and Real-Time. Proceedings of Pro-
ceedings of the 26th Annual International Symposium on Fault-Tolerant Computing. IEEE
Computer Society, 1996. 220–229.
[116] Regnier P, Lima G, Andrade A. A TLA+ Formal Specification and Verification of a New
Real-Time Communication Protocol. Electronic Notes in Theoretical Computer Science,
2009, 240:221–238.
[117] Boyer M, Roux O H. On the Compared Expressiveness of Arc, Place and Transition Time
Petri Nets. Fundam. Inf., 2008, 88(3):225–249.
[118] Clarke E M, Grumberg O, Long D E. Model checking and abstraction. ACM Trans. Pro-
gram. Lang. Syst., 1994, 16(5):1512–1542.
[119] Tiwari A. Abstraction Based Theorem Proving: An example from the theory of Reals.
In: Tinelli C, Ranise S, (eds.). Proceedings of Proceedings of the CADE-19 WOrkshop on
Pragmatics of Decision Procedures in Automated Deduction, PDPAR 2003. INRIA, Nancy,
2003. 40–52.
[120] Berendsen J, Vaandrager F. Compositional Abstraction in Real-Time Model Checking. Pro-
ceedings of FORMATS ’08: Proceedings of the 6th international conference on Formal
Modeling and Analysis of Timed Systems, Berlin, Heidelberg: Springer-Verlag, 2008. 233–
249.
[121] Henzinger T, Manna Z, Pnueli A. An interleaving model for real time. Proceedings of JCIT:
Proceedings of the fifth Jerusalem conference on Information technology, Los Alamitos,
CA, USA: IEEE Computer Society Press, 1990. 717–730.
[122] Yu Y, Manolios P, Lamport L. Model checking TLA+ Specifications. In: Pierre L, Kropf
T, (eds.). Proceedings of Proceedings of Correct Hardware Design and Verification Meth-
ods (CHARME’99), volume 1703 of Lecture Notes in Computer Science, Bad Herrenalb,
Germany: Springer Verlag, 1999. 54–66.
[123] Abadi M, Lamport L. Open systems in TLA. Proceedings of PODC ’94: Proceedings of the
thirteenth annual ACM symposium on Principles of distributed computing, New York, NY,
USA: ACM, 1994. 81–90.
[124] The JavaCC web site: https://javacc.dev.java.net/.
[125] Lamport L. Real-Time Model Checking is Really Simple. Proceedings of Correct Hard-
ware Design and Verification Methods (CHARME 2005). Springer-Verlag Lecture Notes in
Computer Scienc, 2005. 162–175.
[126] Lamport L, Matthews J, Tuttle M, et al. Specifying and verifying systems with TLAp.
Proceedings of Proceedings of the 10th workshop on ACM SIGOPS European workshop,
2002.
[127] Angelika M. A Classification of PLCModels and Applications. Proceedings of Proceedings
of the 5th Workshop on Discrete Event Systems (WODES 2000), 2000. 239–247.
112
参考文献
[128] Heiner M, Menzel T. A Petri net Semantics for the PLC Language Instruction List. Pro-
ceedings of Proceedings of IEE Workshop on Discrete Event System (WODES’98), 1998.
161–165.
[129] Canet G, Couffin S, Lesage J J, et al. Towards the automatic verification of PLC programs
written in Instruction List. Proceedings of Proceedings of IEEE International conference on
Systems, Man and Cybernetics (SMC’2000), 2000. 2449–2454.
[130] HXWillems. Compact Timed Automata for PLC Programs. Technical report, November 24,
1999.
[131] Hanna Y, Rajan H. Slede: Framework for Automatic Verification of Sensor Network Secu-
rity Protocol Implementations. Proceedings of ICSE ’09: 31st International Conference on
Software Engineering, 2009.
[132] Hanna Y, Rajan H, Zhang W. Slede: a domain-specific verification framework for sensor
network security protocol implementations. Proceedings of WiSec ’08: Proceedings of the































[1] Hehua Zhang, Ming Gu, Xiaoyu Song. A dead-lock free scheduling with
sequence-dependent setup times. International Journal of Advanced Manufac-
turing Technology, v45, p593-692, November, 2009. (SCI，影响因子 0.743)
[2] Hehua Zhang, Stephan Merz, Ming Gu. Specifying and Verifying PLC systems
with TLA+. Proceedings of the 3rd IEEE International Symposium on Theoret-
ical Aspects of Software Engineering (TASE 2009) ,Tianjin, China, pp.293-294,
July 29-31, 2009. (EI)
[3] Hehua Zhang, Ming Gu. Modeling job shop scheduling with batches and setup
times by timed Petri nets. Mathematical and Computer Modeling, v49, p286-
294, January, 2009. (SCI，影响因子 1.032)
[4] Hehua Zhang, Ming Gu and Xiaoyu Song. Modeling and Analysis of Stage
Machinery Control Systems by Timed Colored Petri Nets. Proceedings of the
3rd International Symposium on Industrial Embedded Systems, (SIES 2008),
Montpellier, France, June 11-13, p103-110, 2008. (EI)
[5] Hehua Zhang, Ming Gu, Xiaoyu Song. Modeling and Analysis of Real-life Job
Shop Scheduling Problems by Petri nets. Proceedings of the 41st Annual Simu-




[6] Hehua Zhang, Zhi Guo etc. Software process validation based on model check-
ing. Journal of Computational Information Systems, v1, n3, p577-583, Septem-
ber, 2005. (EI)
参与的科研项目及取得的科研成果
[1] 2006.01- 2009.01: 国家973计划“现代设计大型应用软件的共性基
础”子课题六“协同设计大型应用软件体系结构及形式化机理研究”
(No.2004CB719406)
[2] 2007.10- 2008.5: 国家863重点项目“面向离散制造的可配置MES产品及行
业解决方案” (No.2007AA040701-1)
[3] 2008.01-至今: 国家自然科学基金重点项目“基于定理证明的可信嵌入式软
件建模与验证平台研究”（No. 90718039）
[4] 顾明等（译）. 交互式定理证明与程序开发-Coq归纳构造演算的艺术.清华
大学出版社，北京，2010.
116
