Variantes do Refinamento Modal Forte

A principal variante do refinamento modal forte ´e o Refinamento Modal Fraco.

O refinamento modal fraco surge da ideia de que durante o desenvolvimento de um software, os diferentes modelos parciais de um componente (ou software) podem pos- suir um conjunto de a¸c˜oes diferentes. A diferen¸ca entre o refinamento modal fraco e o refinamento modal ´e que o primeiro considera a divis˜ao das a¸c˜oes do modelo em a¸c˜oes observ´aveis e n˜ao-observ´aveis, representadas por τ . A¸c˜oes n˜ao-observ´aveis s˜ao a¸c˜oes que apenas o modelo conhece e que n˜ao s˜ao observ´aveis de fora do mesmo, e por isso s˜ao chamadas de a¸c˜oes internas, representando a¸c˜oes que s˜ao geradas e consumidas interna- mente no modelo, alterando seu estado de forma que outro modelo n˜ao tenha ciˆencia

B.3 VARIANTES DO REFINAMENTO MODAL FORTE 147

da ocorrˆencia das a¸c˜oes. As a¸c˜oes externas s˜ao as a¸c˜oes observ´aveis tanto pelo modelo quanto por outros modelos.

A diferen¸ca entre os dois refinamentos est´a em considerar a ideia de estado alcan¸c´avel diretamente. Para o refinamento modal forte, um estado m1 s´o ´e alcan¸c´avel diretamente por um estado m se houver uma transi¸c˜ao que os conecte. Para o refinamento modal fraco, m1 ´e alcan¸c´avel diretamente por m se houver um caminho formado obrigatoriamente por uma transi¸c˜ao com uma a¸c˜ao observ´avel e, opcionalmente, por outras transi¸c˜oes com a¸c˜oes n˜ao-observ´aveis, n˜ao necessariamente nesta ordem.

Defini¸c˜ao B.3.1 (Refinamento Fraco (ANTONIK et al., 2008)). Seja M  pSM, RM, R
Mq

e N  pSN, RN, R
Nq duas especifica¸c˜oes mistas, onde τ representa as a¸c˜oes n˜ao-observ´aveis

eps0, t0q P SM  SN com s0 e t0 os estados iniciais de M e N respectivamente . Dizemos

que t0 refina fracamente s0 sse existir uma rela¸c˜ao < „ SM  SN tal que ps0, t0q P < e

para todops, tq P < vale:

1. Para todo ps, a, s1q P R_M existe algum t’ e existe uma sequˆencia de transi¸c˜oes tpÑqÝτ  aÑ pÝ ÑqÝτ t1 com ps1, t1q P <;

2. Para todopt, a, t1q P R
_N existe algum s’ e existe uma sequˆencia de transi¸c˜oes sp_99Kτ q a_{99K p} τ

99K qs1 com ps1, t1q P <.

Ao considerar as a¸c˜oes internas, o refinamento modal fraco reconhece como refina- mento de um modelo M , certos modelos que n˜ao seriam um refinamento forte de M, por permitir uma maior flexibilidade na compara¸c˜ao da estrutura dos dois modelos. De certa forma, podemos comparar o refinamento forte e fraco com o refinamento de semˆantica fechada e aberta, respectivamente. A Figura B.2 mostra um exemplo de dois modelos que n˜ao possuem uma rela¸c˜ao de refinamento forte, mas possuem uma rela¸c˜ao de refinamento fraco.

Figura B.2 Exemplo de dois modelos que n˜ao possuem rela¸c˜ao de refinamento forte, mas possuem uma rela¸c˜ao de refinamento fraco

148 DEFINIC¸ ˜OES RELACIONADAS

O refinamento modal fraco permite uma maior flexibiliza¸c˜ao do conceito de refina- mento. Todavia, esta flexibiliza¸c˜ao pode levar a certas inconsistˆencias, como por exemplo a Figura B.3, onde os modelos n˜ao deveriam estar relacionados por uma rela¸c˜ao de re- finamento porque no modelo M , o sistema (ou componente) modelado pode processar diversas a¸c˜oes p antes de uma a¸c˜ao b (observe o ciclo formado pelos estados destacados de vermelho come¸cando de s0). No modelo N isto n˜ao ´e poss´ıvel, mas N ´e um refinamento

fraco de M . Este fato ocorre porque o refinamento modal fraco n˜ao busca a preserva¸c˜ao da estrutura ramificada entre os modelos. Este fato contradiz o senso esperado nas rela¸c˜oes de refinamento.

Figura B.3 Exemplo de refinamento fraco que contradiz o senso de refinamento

Existem varia¸c˜oes do refinamento modal fraco, como o refinamento de alfabeto rami- ficado que considera a existˆencia de a¸c˜oes internas mas preserva a estrutura ramificada entre os modelos (FISCHBEIN; BRABERMAN; UCHITEL, 2009).

Apˆendice

C

PROVAS DO CAP´ITULO 6

Neste apˆendice s˜ao apresentadas as provas mostradas no Cap´ıtulo 6.

Proposi¸c˜ao 5.2.1 (O operador de composi¸c˜ao paralela ´e comutativo) Se- jam M  pAPM, ΣM, SM, sM 0, RM, R
M, LMq e N  pAPN, ΣN, SN, sN 0, RN, RN
, LNq dois

KMTS composicion´aveis, ent˜ao M||N = N||M.

Demonstra¸c˜ao. Sejam M||N  A  pAPA, ΣA, SA, sA0, RA, R
A, LAq e N||M  B 

pAPB, ΣB, SB, sB0, RB, R
B, LBq. Para provar que A  B, precisamos provar que A ¨ B

e que B¨ A:

A ¨ B: Seja a rela¸c˜ao <  tpa, bq | a  pm, nq e b  pn, mq com m P SM e n P SNu. < ´e

uma rela¸c˜ao de refinamento pois, psA0, sB0q P < (sA0  pm0, n0q e sB0 pn0, m0q) e

para todo pa, bq P < vale:

(a) LApaq ¤ LBpbq: pela Defini¸c˜ao 5.2.1, para todo p P m, LAppm, nq, pq 

LBppn, mq, pq, o que implica em LApaq ¤ LBpbq.

(b) se pa, t, a1q P R_A ent˜ao existe b1 tal que pb, t, b1q P R_B epa1, b1q P < com t P ΣA

e t P ΣB: pelas regras de composi¸c˜ao paralela, o estado a1 pode ter uma das

seguintes formaspm1, nq, pm, n1q ou pm1, n1q (a depender de t P ΣM ou tP ΣN),

sendo m1 P SM e n1 P SN estados quaisquer. ´E poss´ıvel deduzir pelas regras

da transi¸c˜oes da Figura 5.2:

ˆ Se a1 _{ pm}1_{, nq ent˜ao pn, t, n}1_{q R R}

N e pm, t, m1q P RM e pela regra (1),

existepb, t, b1q P R_B tal que b1  pn, m1q e pa1, b1q P <; ˆ Se a1 _{ pm, n}1_{q ent˜ao pm, t, m}1_{q R R}

M e pn, t, n1q P RN e pela regra (3),

existepb, t, b1q P R_B tal que b1  pn1, mq e pa1, b1q P <; e ˆ Se a1 _{ pm}1_{, n}1_{q ent˜ao t P S}

N, t P ΣM, pm, t, m1q P R_M e pn, t, n1q P R_N e

pela regra (8) , existe pb, t, b1q P SB tal que b1  pn1, m1q e pa1, b1q P <.

Assim, para qualquer forma assumida por a1 na transi¸c˜aopa, t, a1q P R_A, existe uma transi¸c˜ao correspondentepb, t, b1q P R_B e pela defini¸c˜ao de <, pa1, b1q P <.

150 PROVAS DO CAP´ITULO 6

(c) se pb, t, b1q P R
_B ent˜ao existe a1 tal que pa, t, a1q P R
_A e pa1, b1q P < com t P ΣA

e tP ΣB: an´alogo ao item (b), considerando R
B e R
A.

B ¨ A: degue de maneira an´aloga `a prova acima.

Assim, como A¨ B e B ¨ A temos que A  B, isto ´e M||N  N||M.

Proposi¸c˜ao 5.2.2 (O operador de composi¸c˜ao paralela ´e associativo) Sejam M  pAPM, ΣM, SM, sM 0, RM, R
M, LMq, N  pAPN, ΣN, SN, sN 0, RN, R
N, LNq e P 

pAPP, ΣP, SP, sM 0, RP, R
P, LPq trˆes KMTS composicion´aveis entre si, ent˜ao pM||Nq||P 

M||pN||P q.

Demonstra¸c˜ao. Devemos mostrar quepM||Nq||P ¨ M||pN||P q e M||pN||P q ¨ pM||Nq||P . Vamos chamar pM||Nq||P  A  ppAPA, ΣA, SA, R_A, R
_A, LAq e M||pN||P q  B 

pAPB, ΣB, SB, RB, R
B, LBq.

A¨ B: Seja a rela¸c˜ao <  tpa, bq | a  ppm, nq, pq e b  pm, pn, pqq tal que m P SM,

n P SN e pP SPu. Como A, B e C s˜ao composicion´aveis ent˜ao sA0  ppm0, n0q, p0q

e sB0 pm0,pn0, p0qq, ou seja, psA0, sB0q P <. Vamos mostrar que < ´e uma rela¸c˜ao

de refinamento pois, para todopa, bq P < vale:

(a) LApaq ¤ LBpbq: pela Defini¸c˜ao 5.2.1, para todo p P m, LAppm, nq, pq 

LBppn, mq, pq, o que implica em LApaq ¤ LBpbq.

(b) se pa, t, a1q P R_A ent˜ao existe b1 tal que pb, t, b1q P R_B e pa1, b1q P < com t P ΣA

e tP ΣB: pelas regras de composi¸c˜ao paralela, o estado a1 pode ter uma das

seguintes formasppm, n1q, pq, ppm, n1q, p1q, ppm1, nq, pq, ppm1, nq, p1q, ppm1, n1q, pq ouppm1, n1q, p1q (a depender da existˆencia de t P ΣM, em ΣN ou tP ΣP) sendo

m1 P SM, n1 P SN e p1 P SP estados quaisquer. ´E poss´ıvel deduzir pelas regras

de transi¸c˜oes da Figura 5.2:

ˆ Se a1 _{ ppm, n}1_{q, pq ent˜ao ppm, nq, t, pm, n}1_{q P R}

M||N, pn, t, n1q P RN,

pm, t, m1_{q R R}

M e pp, t, p1q R RP. Assim, pela regra (1) aplicada para

gerar N||P , existe ppn, pq, t, pn1, pqq P R_N||P e ent˜ao, pela regra (3) sobre M||pN||P qq existe pb, t, b1q P R_B tal que b’ = (m, (n’, p)) e pa1, b1q P <; ˆ Se a1 _{ ppm}1_{, nq, pq ent˜ao ppm, nq, t, pm}1_{, nq P R}

M||N, pm, t, m1q P RM,

pn, t, n1_{q R R}

M e pp, t, p1q R RP. Ent˜ao, pela regra (1) aplicada para gerar

M||pN||P qq, existe pb, t, b1q P R_B tal que b1  pm1,pn, pqq e pa1, b1q P <; ˆ Se a1 _{ ppm}1_{, n}1_{q, pq ent˜ao ppm}1_{, n}1_{q, t, pm}1_{, n}1_{q P R}

M||N, pn, t, n1q P RN,

pm, t, m1_{q P R}

M epp, t, p1q R RP. Assim, pela regra (1) aplicada para gerar

N||P , existe ppn, pq, t, pn1, pqq P R_N||P e ent˜ao, pela regra (8) utilizada para gerar M||pN||P qq, existe pb, t, b1q P R_B tal que b1  pm1,pn1, pqq e pa1_{, b}1_{q P <;}

ˆ Se a1 _{ ppm, n}1_{q, p}1_{q ent˜ao ppm, n}1_{q, t, pm, n}1_{q P R}

M||N, pn, t, n1q P RN,

pm, t, m1_{q R R}

PROVAS DO CAP´ITULO 6 151

gerar N||P , existe ppn1, p1q, t, pn1, p1qq P R_N||P e ent˜ao, pela regra (3) utili- zada para gerar M||pN||P qq, existe pb, t, b1q P R_B tal que b1  pm, pn1, p1qq e pa1, b1q P <;

ˆ Se a1 _{ ppm}1_{, nq, p}1_{q ent˜ao ppm}1_{, nq, t, pm}1_{, nq P R}

M||N, pn, t, n1q R RN,

pm, t, m1_{q P R}

M e pp, t, p1q P RP. Assim, pela regra (3) aplicada para

gerar N||P , existe ppn, p1q, t, pn, p1qq P R_N||P e ent˜ao, pela regra (8) utili- zada para gerar M||pN||P qq, existe pb, t, b1q P R_B tal que b’ = (m’, (n, p’)) e pa1, b1q P <; e

ˆ Se a1 _{ ppm}1_{, n}1_{q, p}1_{q ent˜ao ppm}1_{, n}1_{q, t, pm}1_{, n}1_{q P R}

M||N, pn, t, n1q P RN,

pm, t, m1_{q P R}

M e pp, t, p1q P RP. Assim, pela regra (8) aplicada para

gerar N||P , ppn1, p1q, t, pn1, p1qq P R_N||P e ent˜ao, pela regra (8) utilizada para gerar M||pN||P qq, existe pb, t, b1q P SB tal que b’ = (m’, (n’s, p’)) e

pa1_{, b}1_{q P <.}

Assim, para qualquer forma assumida por a1 na transi¸c˜aopa, t, a1q, existe uma transi¸c˜ao correspondentepb, t, b1q em R_B e pela defini¸c˜ao de <, pa1, b1q P <. (c) se pb, t, b1q P R
_B ent˜ao existe a1 tal que pa, t, a1q P R
_A e pa1, b1q P < com t P ΣA

e tP ΣB: pelas regras da composi¸c˜ao paralela, o estado b’ pode ter uma das

seguintes formas (m, (n’, p)), (m, (n’, p’)), (m’, (n, p)), (m’, (n, p’)), (m’, (n’, p)) ou (m’, (n’, p’)) (a depender da existˆencia de t P ΣM, t P ΣN ou t P ΣP

e da modalidade da transi¸c˜ao em M e N) sendo m1 P SM, n1 P SN e p1 P SP

estados quaisquer. ´E poss´ıvel deduzir pelas regras de transi¸c˜oes que:

Se b1  pm, pn1, pqq ent˜ao ppn, pq, t, pn1, pqq P R
_N||P, pn, t, n1q P R
_N, pm, t, m1q R R_M
e pp, t, p1q R R_P
. Assim, pela regra (2) utilizada para gerar M||N, existe ppm, nq, t, pm, n1_{qq P R}

M||N e pela regra (2) utilizada para gerar pM||Nq||P

existepa, t, a1q P R_A
tal que a’ = ((m, n’), p) e pa1, b1q P <; ˆ Se b1 _{ pm}1_{,pn, pqq: ent˜ao pm, t, m}1_{q P R}

M,pn, t, n1q R R
N, e pp, t, p1q R R
P.

Assim, pela regra (2) utilizada para gerar M||N, existe ppm, nq, t, pm1, nqq P R
_M||N e pela regra (2) utilizada para gerarpM||Nq||P existe pa, t, a1q P R
_A tal que a’ = ((m’, n), p) e pa1, b1q P <;

ˆ Se b1 _{ pm, pn}1_{, p}1_{qq: ent˜ao ppn, pq, t, pn}1_{, p}1_{qq P R}

N||P, pn, t, n1q P R
N,

pm, t, m1_{q R R}

M e pp, t, p1q P R
P. Assim, pela regra (4) utilizada para

gerar M||N, existe ppm, nq, t, pm, n1qq P R
_M||N e ent˜ao, pela regra (7) uti- lizada para gerar pM||Nq||P , existe pa, t, a1q P R
_A tal que a’ = ((m, n’), p’) e pa1, b1q P <;

ˆ Se b1 _{ pm}1_{,pn, p}1_{qq: ent˜ao ppn, pq, t, pn, p}1_{qq P R}

N||P, pn, t, n1q R RN
,

pm, t, m1_{q P R}

M e pp, t, p1q P R
P. Assim, pela regra (2) utilizada para

gerar M||N, existe ppm, nq, t, pm1, nqq P R
_M||N e pela regra (7) utilizada para gerar pM||Nq||P , existe pa, t, a1q P R_A
tal que a’ = ((m’, n), p’) e pa1_{, b}1_{q P <;}

ˆ Se b1 _{ pm}1_,pn1_{, pqq: ent˜ao ppn, pq, t, pn}1_{, pqq P R}

N||P, pn, t, n1q P RN
,

pm, t, m1_{q P R}

152 PROVAS DO CAP´ITULO 6

gerar M||N, existe ppm, nq, t, pm1, n1qq P R
_M||N e pela regra (2) utilizada para gerar pM||Nq||P , existe pa, t, a1q P R
_A tal que a’ = ((m’, n’), p) e pa1_{, b}1_{q P <;}

ˆ Se b1 _{ pm}1_,pn1_{, p}1_{qq: ent˜ao ppn, pq, t, pn}1_{, p}1_{qq P R}

N||P, pn, t, n1q P R
N,

pm, t, m1_{q P R}

M e pp, t, p1q P RP
. Assim, pela regra (7) utilizada para

gerar M||N, existe ppm, nq, t, pm1, n1qq P R
_M||N e pela regra (7) utilizada para gerar pM||Nq||P , existe pa, t, a1q P R
_A tal que a’ = ((m’, n’), p’) e pa1_{, b}1_{q P <; e}

ˆ Se b1 _{ pm, pn, p}1_{qq: ent˜ao ppn, pq, t, pn, p}1_{qq P R}

N||P, pn, t, n1q R R
N,

pm, t, m1_{q R R}

M e pp, t, p1q P R
P. E pela regra (4) utilizada para gerar

pM||Nq||P , existe pa, t, a1_{q P R}

A tal que a’ = ((m, n), p’) epa1, b1q P <.

Assim, para qualquer forma assumida por b1 na transi¸c˜aopb, t, b1q, existir´a uma transi¸c˜ao equivalente pa, t, a1qem R
_A e pela defini¸c˜ao de <,pa1, b1q P <.

B ¨ A: Segue de maneira an´aloga `a prova acima.

Assim, como A ¨ B e B ¨ A temos que A  B, isto ´e, pM||Nq||P  M||pN||P q. Proposi¸c˜ao 5.3.1 Dados M  pAPM, ΣM, SM, sM 0, RM, R
M, LMq e N  pAPN, ΣN,

SN, sN 0, RN, R
N, LNq dois KMTS. M e N s˜ao consistentes entre si sse existir uma rela¸c˜ao

de consistˆencia CM N entre M e N .

Demonstra¸c˜ao. Suponha uma implementa¸c˜ao CI  pAP, Σ, CM N,pm0, n0q, RI, R
I, Lq,

tal que R_I  R
_I  R a menor rela¸c˜ao que satisfaz as regras da Defini¸c˜ao 5.3.2.

(Ð) Pela Defini¸c˜ao 5.3.2 ´e suficiente mostrar que existe um modelo que ´e refinamento de M e de N. Vamos mostrar que este modelo ´e CI pela rela¸c˜ao de refinamento < tpm, pm, nqq | pm, nq P CM Nu, temos que M ¨ CI

ˆ LMpmq ¤ Lppm, nqq: por hip´otese M e N est˜ao relacionados por uma rela¸c˜ao

de consistˆencia, ou seja, p@p P LpmqqpLpm, pq  Lpn, pq ou Lpn, pq  Kq, logo LMpmq ¤ Lppm, nqq;

ˆ Para todo pm, a, m1_{q P R}

M existeppm, nq, a, pm1, n1qq P R tal que pm1,pm1, n1qq P

CM N: para toda pm, a, m1q P RM existe pn, a, n1q P R
N (pela rela¸c˜ao de con-

sistˆencia CM N). Assim, pelas regras da Defini¸c˜ao 5.3.2 (hip´otese), para todo

pm, a, m1_{q P R}

M existe ppm, nq, a, pm1, n1qq P < e como pm1, n1q P CM N ent˜ao

pm1_,pm1_{, n}1_{qq P C} M N; e

ˆ Para todo ppm, nq, a, pm1_{, n}1_{qq P R existe pm, a, m}1_{q P R}

M tal quepm1,pm1, n1qq P

CM N: pelas regras da Defini¸c˜ao 5.3.2 (hip´otese), para todoppm, nq, a, pm1, n1qq P

< existe pm, a, m1q P R
_M (ou R_M).

De forma an´aloga, ´e poss´ıvel provar que N ¨ CI e, portanto, M e N s˜ao consistentes entre si.

PROVAS DO CAP´ITULO 6 153

(Ñ) Como M e N s˜ao consistentes ent˜ao existe um modelo X tal que M ¨ X e N ¨ X. Seja X  CI. Pela defini¸c˜ao de refinamento, existem rela¸c˜oes de refinamento <M

e <N que mapeiam os modelos M e N em CI, respectivamente. Suponha uma

rela¸c˜ao CM N  tpm, nq | i P SI^ pm, iq P <M ^ pn, iq P <Nu. CM N ´e uma rela¸c˜ao

de consistˆencia:

ˆ p@p P LMpmqqpLMpm, pq  LNpn, pq ou LNpn, pq  Kq: como M ¨ CI

ent˜ao p@p P LMpmqqpLMpm, pq ¤ Lpi, pqq, ou seja, se LMpm, pq  K ent˜ao

LMpm, pq  Lpi, pq. Da mesma maneira, como N ¨ CI ent˜ao p@p P LNpnqq

pLNpn, pq ¤ Lpi, pqq, ou seja, se LNpn, pq  K ent˜ao LNpn, pq  Lpi, pq. Logo,

se LMpm, pq  K ent˜ao LMpm, pq  Lpi, pq  LNpn, pq ou LNpn, pq  K;

ˆ p@p P LNpnqqpLNpn, pq  LMpm, pq ou LMpm, pq  Kq: como N ¨ CI ent˜ao

p@p P LNpnqqpLNpn, pq ¤ Lpi, pqq, ou seja, se LNpn, pq  K ent˜ao LNpn, pq 

Lpi, pq. Da mesma maneira, como M ¨ CI ent˜ao p@p P LMpmqqpLMpm, pq ¤

Lpi, pqq, ou seja, se LMpm, pq  K ent˜ao LMpm, pq  Lpi, pq. Logo, se

LNpn, pq  K ent˜ao LNpn, pq  Lpi, pq  LMpm, pq ou LMpm, pq  K;

ˆ p@l, m1_{qppm, a, m}1_{q P R}

M, ent˜ao existe pn, a, n1q P R
N com pm1, n1q P CM Nq:

como M ¨ CI, Para toda ppm, a, m1q P R_M existepi, a, i1q P R com pm1, i1q P <M e, como N ¨ CI, para toda pi, a, i1q P R existe pn, a, n1q P R
_N com

pn1_{, i}1_{q P R}

M N, ou seja, para toda pm, a, m1q P RM existepn, a, n1q P R
N e pela

defini¸c˜ao de <M, <N,pm1, n1q P CM N; e

ˆ p@l, n1_{qppn, a, n}1_{q P R}

N, ent˜ao existe pm, a, m1q P RM
com pm1, n1q P CM Nq:

como N ¨ CI, Para toda ppn, a, n1q P R_N existe pi, a, i1q P R com pn1, i1q P <N

e, como M ¨ CI, para toda pi, a, i1q P R existe pm, a, m1q P R
_M com pm1, i1q P <M, ou seja, para toda pn, a, n1q P RN existepm, a, m1q P R
M e pela defini¸c˜ao

de <M, <N, pm1, n1q P CM N.

Logo M e N s˜ao consistentes entre si se, e somente se, existir uma rela¸c˜ao de consistˆencia CM N entre M e N .

Proposi¸c˜ao 5.3.2 (O operador de conjun¸c˜ao ´e associativo) Sejam M  pAPM, ΣM,

SM, sM 0, RM, R
M, LMq e N  pAPN, ΣN, SN, sN 0, RN, R
N, LNq dois KMTS consistentes

entre si, ent˜ao M ^ N  N ^ M.

Demonstra¸c˜ao. Sejam M ^ N  A  pAPA, ΣA, SA, sA0, R_A, R
_A, LAq e N ^ M  B 

pAPB, ΣB, SB, sB0, RB, R
B, LBq. Para provar que A  B, ´e preciso provar que A ¨ B e

que B¨ A:

A ¨ B : Seja a rela¸c˜ao <  tpa, bq | a  pm, nq e b  pn, mq com m P SM e nP SNu. Como

A e B s˜ao consistentes ent˜ao sA0 pm0, n0q e sB0 pn0, m0q, ou seja, psA0, sB0q P <.

Vamos mostrar que < ´e uma rela¸c˜ao de refinamento pois, para todo pa, bq P < vale: (a) LApaq ¤ LBpbq: pela defini¸c˜ao de fun¸c˜ao rotuladora da conjun¸c˜ao (Defini¸c˜ao

154 PROVAS DO CAP´ITULO 6

(b) sepa, t, a1q P R_Aent˜ao existe b1 tal quepb, t, b1q P R_Bcompa1, b1q P < com t P ΣA

e tP ΣB: pelas regras das transi¸c˜oes do operador de conjun¸c˜ao, o estado a1 s´o

pode ter a seguinte forma (m’, n’), isto ´e,pm, t, m1q P R
_M e pn, t, n1q P R_N ou pm, t, m1_{q P R}

M epn, t, n1q P R
N. Para quaisquer uma das combina¸c˜oes, existe

uma transi¸c˜aopb, t, b1q P R_B tal que b1  pn1, m1q. Assim, para toda transi¸c˜ao pa, t, a1_{q P R}

Asempre existir´a uma transi¸c˜aopb, t, b1q equivalente em RB e, pela

defini¸c˜ao de <, pa1, b1q P <;

(c) se pb, t, b1q P R
_B ent˜ao existe a1 tal que pa, t, a1q P R
_A e pa1, b1q P < com t P ΣA

e t P ΣB: pelas regras das transi¸c˜oes no operador de conjun¸c˜ao, o estado

b1  pn1, m1q, isto ´e, pm, t, m1q P R_M
e pn, t, n1q P R_N
. Assim, pela regra (1) usada para gerar o modelo A,pa, t, a1q P R
_A tal que a’ = (m’, n’). Assim, para toda transi¸c˜ao pb, t, b1q P R_B
sempre existir´a uma transi¸c˜ao pa, t, a1q P R_A
e, pela defini¸c˜ao de <,pa1, b1q P <.

B ¨ A : A prova deste item segue de maneira an´aloga a prova acima e por isto n˜ao ser´a apresentada.

Assim, como A¨ B e B ¨ A temos que A  B, isto ´e, M ^ N  N ^ M.

Proposi¸c˜ao 5.3.3 (O operador de conjun¸c˜ao ´e comutativo) Sejam M  pAPM, ΣM,

SM, sM 0, RM, RM
, LMq, N  pAPN, ΣN, SN, sN 0, RN, R
N, LNq e P  pAPP, ΣP, SP, sP 0, RP,

R_P
, LPq tres KMTS consistentes entre si, ent˜ao pM ^ Nq ^ P  M ^ pN ^ P q.

Demonstra¸c˜ao. Sejam M , N e P trˆes KMTS consistentes entre si, para mostrar que pM ^ Nq ^ P = M ^ pN ^ P q devemos mostrar que pM ^ Nq ^ P ¨ M ^ pN ^ P q e M ^ pN ^ P q ¨ pM ^ Nq ^ P . Vamos chamar pM ^ Nq ^ P  A  ppAPA, ΣA,

SA, RA, R
A, LAq e M ^ pN ^ P q  B  pAPB, ΣB, SB, RB, R
B, LBq.

A¨ B: Seja a rela¸c˜ao <  tpa, bq | a  ppm, nq, pq e b  pm, pn, pqq e m P SM, n P SN

e p P SPu. Como A e B s˜ao consistentes entre si ent˜ao sA0  ppm0, n0q, p0q e

sB0  pm0,pn0, p0qq, ou seja, psA0, sB0q P <. Vamos mostrar que < ´e uma rela¸c˜ao

de refinamento pois, para todopa, bq P < vale:

(a) LApaq ¤ LBpbq: pela defini¸c˜ao de fun¸c˜ao rotuladora (Defini¸c˜ao 5.3.3) LApppm, nq,

pq, qq  LBppm, pn, pqq, qq, o que implica em LApaq ¤ LBpbq.

(b) se pa, t, a1q P R_A ent˜ao existe b1 tal que pb, t, b1q P R_B e pa1, b1q P < com t P ΣA e t P ΣB: pelas regras de transi¸c˜oes do operador de conjun¸c˜ao, o

estado a1  ppm1, n1q, p1q ent˜ao ppm, nq, t, pm1, n1qq P R_M^N e pp, t, p1q P R
_P ou ppm, nq, t, pm1, n1qq P R
_M^N e pp, t, p1q P R_P. Para quaisquer uma destas combina¸c˜oes, pelas regras de transi¸c˜oes do operador de conjun¸c˜ao, sempre existir´a pb, t, b1q P SB tal que b’ = (m’, (n’, p’)). Assim sempre existir´a uma

transi¸c˜ao equivalente em R_B e, pela defini¸c˜ao de <, pa1, b1q P <.

(c) se pb, t, b1q P R
_B ent˜ao existe a1 tal que pa, t, a1q P R
_A e pa1, b1q P < com t P ΣA

e tP ΣB: pela regra (1), o estado b1  pm1,pn1, p1qq, isto ´e, px, t, x1q P R
X com

PROVAS DO CAP´ITULO 6 155

p’)). Assim, para toda transi¸c˜ao pb, t, b1q P R_B
, sempre existir´a uma transi¸c˜ao pa, t, a1_{q P R}

A e, pela defini¸c˜ao de <,pa1, b1q P <.

B ¨ A: A prova deste item segue de maneira an´aloga `a prova acima e por isto n˜ao ser´a apresentada.

Assim, como A¨ B e B ¨ A temos que A  B, isto ´e, pM ^Nq^P  M ^pN ^P q. Proposi¸c˜ao 5.3.4 Sejam M  pAPM, ΣM, SM, sM 0, R_M, R
_M, LMq, e N  pAPN, ΣN,

SN, sN 0, RN, R
N, LNq. M ^ N ´e definido se e somente se existe um KMTS X tal que

M ¨ X e N ¨ X Demonstra¸c˜ao.

(Ñ) Seja M ^ N  pAPM^N, ΣM^N, SM^N, sM 0^N0, R_M^N, R_M
^N, LM^Nq definido, de-

vemos provar que M ¨ M ^ N e N ¨ M ^ N. Vamos mostrar que M ¨ M ^ N e o caso N ¨ M ^ N segue de modo an´alogo. Seja a rela¸c˜ao <  tpm, pm, nqq | m P SM e nP SNu, tal que M ¨ M ^ N. < ´e uma rela¸c˜ao de refinamento, pois por

defini¸c˜ao o par pm0,pm0, n0qq P < e, para todo por pm, nq P < vale:

(a) LMpmq ¤ LM^Nppm, nqq: pela defini¸c˜ao de fun¸c˜ao rotuladora (Defini¸c˜ao 5.3.3)

LMpm, pq  LM^Nppm, nq, pq, o que implica em LMpmq ¤ LM^Nppm, nqq;

(b) para toda t  pm, a, m1q P R_M existe ppm, nq, a, pm1, n1qq P R_M^N com pm1, pm1_{, n}1_{qq P <: como M e N s˜ao consistentes, para toda uma transi¸c˜ao t }

pm, a, m1_{q P R}

M existe pn, a, n1q P R
N. Assim, pelas regras de transi¸c˜oes do

operador de conjun¸c˜ao, para toda transi¸c˜ao t existe t1  ppm, nq, a, pm1, n1qq P R_M^N;

(c) para toda t  ppm, nq, a, pm1, n1qq P R
_M^N existe pm, a, m1q P R
_M com pm1, pm1_{, n}1_{qq P <: pela regra (1) se ppm, nq, a, pm}1_{, n}1_{qq P R}

M^N ent˜ao pm, a, m1q P

R_M
.

Como o mesmo vale para N, isto ´e, N ¨ M ^N, existe X  M ^N tal que M ¨ X e N ¨ X. Observe que para qualquer modelo Y tal que M ^ N ¨ Y temos que M ¨ Y e N ¨ Y (transitividade da rela¸c˜ao de refinamento).

(Ð) Seja X  pAPX, ΣX, SX, sX0, RX, R
X, LXq, <M,X a rela¸c˜ao de refinamento entre

M e X e <N,X a rela¸c˜ao de refinamento entre N e X. ´E poss´ıvel criar uma rela¸c˜ao

CM,N  tpm, nq | pm, xq P <M,X e pn, xq P <N,Xu. Vamos provar que CM,N ´e uma

rela¸c˜ao de consistˆencia:

(a) p@p P LMpmqqpLMpm, pq  LNpn, pq ou LNpn, pq  Kq: sejam (m, x) e (n, x)

pares de <M,X e <N,X, respectivamente. LMpmq ¤ LXpxq e LNpnq ¤ LXpxq,

isto ´e, para todo p P LXpxq, LMpm, pq  LNpn, pq  LXpxq ou LNpn, pq  K

ou LMpm, pq  K. Assim, para todol p P LMpmq, LMpm, pq  LNpn, pq 

156 PROVAS DO CAP´ITULO 6

(b) p@p P LpnqqpLNpn, pq  LMpm, pqouLMpm, pq  Kq: a prova deste item segue

an´aloga a prova do item acima;

(c) p@l, m1qppm, a, m1q P R_M, ent˜ao existe pn, a, n1q P R
_N com pm1, n1q P Cq: como M ¨ X ent˜ao para todo t  pm, a, m1q P R_M existe um t1  px, ax1q P R_X, e como N ¨ X ent˜ao para todo t  px, a, x1q P R
_X existe um t1  pn, an1q P R
_N, isto ´e, para todo t pm, a, m1q P R_M existe um t1  pn, an1q P R
_N;

(d) p@l, n1qppn, a, n1q P R_N, ent˜ao existepm, a, m1q P R_M
compm1, n1q P Cq: a prova deste item segue an´aloga a prova do item acima.

Como CM,N ´e uma rela¸c˜ao de consistˆencia, pela Proposi¸c˜ao 5.3.2, M e N s˜ao consis-

No documento Uso de Sistemas de Transições Modais de Kripke para Representacão de Comportamento Parcial no Desenvolvimento incremental e interativo de software (páginas 172-182)