Temporale Logik der Aktionen

Die Temporale Logik der Aktionen (TLA, englisch temporal logic of actions) wurde von Leslie Lamport entwickelt. Sie baut zum einen auf der Temporalen Logik (engl. temporal logic) und zum anderen auf der Logik der Aktionen (engl. logic of actions) auf, ist folglich im Ansatz eine Verknüpfung einer Erweiterung der Aussagenlogik durch die Temporale Logik mit der Sprache Logik der Aktionen, in der sich Prädikate, Zustandsfunktionen und Aktionen beschreiben lassen. Es handelt sich um eine Variante der von Amir Pnueli eingeführten temporalen Logik für Programme.

Die Temporale Logik der Aktionen wird in der Informatik zur Spezifikation, Argumentation und Verifikation von Systemen (z. B. Programmen) verwendet. Eine Spezifikation in TLA ist eine logische Formel, die jedes mögliche und korrekte Verhalten eines Systems beschreibt. Anhand dieser logischen Formel können Systeme auf unerwünschte und gewünschte Eigenschaften geprüft werden.

Logik der Aktionen

Die Logik der Aktionen in der theoretischen Informatik beschäftigt sich mit der Korrektheit von Ausführungen von Computerprogrammen und ermöglicht die Untersuchung der Korrektheit von Programmen.^[1]

Notationsgrundlagen

• Sei ${\displaystyle F}$  ein syntaktisches Objekt, dann ist ${\displaystyle [[F]]}$  seine semantische Bedeutung.
• ${\displaystyle {\hat {=}}}$  ist eine andere Schreibweise für ${\displaystyle :=}$  und bedeutet „gleich per definitionem“.
• ${\displaystyle s[[v]]/v}$  bedeutet, dass ${\displaystyle v}$  durch ${\displaystyle s[[v]]}$  ersetzt wird.

Variablen, Werte und Zustände

Die Logik der Aktionen verwendet die folgenden drei Klassen:

${\displaystyle {\textbf {Var}}}$  – die Klasse aller Variablennamen

${\displaystyle {\textbf {Val}}}$  – die Klasse aller möglichen Werte für die Variablen (z. B. 10, „string“, ${\displaystyle \operatorname {True} }$ )

${\displaystyle {\textbf {St}}}$  – die Klasse aller möglichen Zustände

Ein Zustand ist eine Abbildung ${\displaystyle s\colon {\textbf {Var}}\to {\textbf {Val}},x\mapsto s(x)}$ , das heißt, der Variablen ${\displaystyle x}$  wird der Zustand ${\displaystyle s(x)}$  zugewiesen. Die Zustände beschreiben die Semantik. Man verwendet ${\displaystyle s[[x]]}$  statt ${\displaystyle s(x)}$ . Mit ${\displaystyle [[x]]}$  bezeichnet man somit die Abbildung ${\displaystyle [[x]]\colon {\textbf {St}}\to {\textbf {Val}}}$ .

Somit ist die Schreibweise ${\displaystyle s[[x]]}$  in polnischer Notation und bedeutet Anwendung von ${\displaystyle s}$ .^[2]

Zustandsfunktion

Eine Zustandsfunktion (engl. state function) ist ein nicht-boolescher Ausdruck aus Variablen und Konstanten, zum Beispiel ${\displaystyle f:=x^{2}+y+4}$ , dazu gehören auch Variablen ${\displaystyle x}$  (da eine Variable als die Identitätsabbildung ${\displaystyle x\mapsto x}$  interpretiert werden kann). Der Ausdruck ${\displaystyle [[f]]}$  ist dann die Abbildung ${\displaystyle [[f]]\colon {\textbf {St}}\to {\textbf {Val}},s\mapsto s[[f]]}$ , das heißt, ${\displaystyle [[f]]}$  oder ${\displaystyle [[x^{2}+y+4]]}$  ist eine Abbildung, die dem Zustand ${\displaystyle s}$  den Wert ${\displaystyle \left(s[[x]]\right)^{2}+s[[y]]+4}$  zuordnet. Die Notation ${\displaystyle s[[f]]}$  bezeichnet den Wert, den ${\displaystyle [[f]]}$  dem Zustand ${\displaystyle s}$  zuordnet.

Die semantische Definition von ${\displaystyle s[[f]]}$  lautet^[3]

${\displaystyle s[[f]]\ {\hat {=}}\ f(\forall v\colon s[[v]]/v)}$ .

Der Ausdruck ${\displaystyle f(\forall v\colon s[[v]]/v)}$  bedeutet somit den Wert von ${\displaystyle f}$ , wenn man alle ${\displaystyle v}$  durch ${\displaystyle s[[v]]}$  ersetzt.

Zusammenfassend:

Zustand	${\displaystyle s}$	${\displaystyle {\textbf {Var}}\to {\textbf {Val}},x\mapsto s(x)=:s[[x]]}$
Zustandsfunktion	${\displaystyle f}$	${\displaystyle x^{2}+y+4}$
Semantik	${\displaystyle [[f]]}$	${\displaystyle {\textbf {St}}\to {\textbf {Val}},s\mapsto s[[f]]=(s[[x]])^{2}+s[[y]]+4}$

Zustandsprädikat

Ein boolescher Ausdruck ${\displaystyle P}$  aus Variablen und Konstanten wird Zustandsprädikat (oder kurz Prädikat) genannt, ein Beispiel ist der Ausdruck ${\displaystyle x=3+y}$ . Mit ${\displaystyle [[P]]}$  bezeichnet man die Abbildung ${\displaystyle [[P]]\colon {\textbf {St}}\to \operatorname {Booleans} }$  und ${\displaystyle s[[P]]}$  ordnet entweder ${\displaystyle \operatorname {True} }$  oder ${\displaystyle \operatorname {False} }$  dem Zustand ${\displaystyle s}$  zu. Wenn ${\displaystyle s[[P]]=\operatorname {True} }$  gilt, dann sagt man ${\displaystyle s}$  erfüllt das Prädikat ${\displaystyle P}$ .^[3]

Aktion und Schritte

Eine Aktion ${\displaystyle {\mathcal {A}}}$  ist ein boolescher Ausdruck, der die Beziehung zwischen einem alten Zustand ${\displaystyle s}$  und einem neuen Zustand ${\displaystyle t}$  beschreibt. Die Aktion besteht aus „alten Variablen“ und „neuen Variablen“, wobei letztere mit einem ${\displaystyle '}$  markiert sind. Zum Beispiel ist ${\displaystyle x'+2=y}$  eine Aktion, die sagt, dass ${\displaystyle y}$  im alten Zustand um ${\displaystyle 2}$  größer ist als ${\displaystyle x}$  im neuen Zustand.

Der Ausdruck ${\displaystyle [[{\mathcal {A}}]]}$  beschreibt die Beziehung zwischen zwei Zuständen, das heißt einen binären Operator, der den beiden Zuständen ${\displaystyle s,t}$  einen booleschen Wert ${\displaystyle s[[{\mathcal {A}}]]t}$  zuweist, dabei wird per definitionem links der alte Zustand und rechts der neue Zustand geschrieben. Die semantische Bedeutung ${\displaystyle s[[{\mathcal {A}}]]t}$  von ${\displaystyle {\mathcal {A}}}$  erhält man, indem man ${\displaystyle v}$  durch ${\displaystyle s[[v]]}$  und ${\displaystyle v'}$  durch ${\displaystyle t[[v]]}$  ersetzt. Ist ${\displaystyle s[[{\mathcal {A}}]]t=\operatorname {True} }$ , dann nennt man ${\displaystyle s,t}$  einen ${\displaystyle {\mathcal {A}}}$ -Schritt (engl. ${\displaystyle {\mathcal {A}}}$ -step).

Der Ausdruck ${\displaystyle s[[y=x'+1]]t}$  bedeutet somit das Gleiche wie der boolesche Ausdruck ${\displaystyle s[[y]]=t[[x]]+1}$ .

Die semantische Definition von ${\displaystyle s[[{\mathcal {A}}]]t}$  lautet

${\displaystyle s[[{\mathcal {A}}]]t\ {\hat {=}}\ {\mathcal {A}}(\forall v\colon s[[v]]/v,\ t[[v]]/v')}$ .

Variablen die unterschiedliche Werte in verschiedenen Zuständen besitzen können, werden flexible Variablen (engl. flexible variables) genannt. Variablen die konstant bleiben (aber auch unbekannt sein könne) werden rigide Variablen (engl. rigid variables) genannt. Beispielsweise sei ${\displaystyle x}$  eine flexible Variable, dann besitzt die Aktion

${\displaystyle \exists m\in \mathbb {N} \colon mx'=n+x}$ 

zwei rigide Variablen ${\displaystyle m,n}$ , die nicht verändert werden.

Prädikat als Aktion

Ein Prädikat kann als Aktion ohne Variablen mit ${\displaystyle '}$  verstanden werden. Die Aktion ${\displaystyle s[[P]]t}$  ist gleich dem booleschen Ausdruck ${\displaystyle s[[P]]}$  für alle ${\displaystyle s,t}$ . Für Zustandsfunktionen und Prädikate ${\displaystyle F}$  definiert man ${\displaystyle F'}$  als den Ausdruck, den man erhält, wenn man alle Variablen durch deren neue Variable ersetzt, das heißt also

${\displaystyle F'\ {\hat {=}}\ F(\forall v\colon v'/v)}$ .

Des Weiteren ist ${\displaystyle s[[P']]t}$  der gleiche Ausdruck wie ${\displaystyle t[[P]]}$ , für alle Zustände ${\displaystyle s,t}$ .

Beweisbarkeit und Gültigkeit

Eine Aktion ${\displaystyle {\mathcal {A}}}$  ist gültig (engl. valid), geschrieben ${\displaystyle \vDash {\mathcal {A}}}$  (siehe Tautologie), falls jeder Schritt ein ${\displaystyle {\mathcal {A}}}$ -Schritt ist, das heißt also, ${\displaystyle s[[{\mathcal {A}}]]t}$  ist ${\displaystyle \operatorname {True} }$  für alle ${\displaystyle s,t\in {\textbf {St}}}$ . Die semantische Definition lautet

${\displaystyle \vDash {\mathcal {A}}\ {\hat {=}}\ \forall s,t\in {\textbf {St}}\colon \ s[[{\mathcal {A}}]]t}$ 

und für ein Prädikat ${\displaystyle P}$ 

${\displaystyle \vDash P\ {\hat {=}}\ \forall s\in {\textbf {St}}\colon \ s[[P]]}$ .

Ein Beispiel für eine gültige Aussage ist

${\displaystyle (x'+y\in \mathbb {N} )\implies (x'+y\geq -x'+-y)}$ .

Beweisbare Formeln ${\displaystyle F}$  werden wie in der mathematischen Logik mit ${\displaystyle \vdash F}$  notiert (siehe Ableitung).

Enabled-Prädikate

Sei ${\displaystyle {\mathcal {A}}}$  eine Aktion, dann ist ${\displaystyle Enabled\ {\mathcal {A}}}$  ein Prädikat, das genau dann für einen Zustand wahr ist, falls es in dem Zustand möglich ist, einen ${\displaystyle {\mathcal {A}}}$ -Schritt auszuführen. Die semantische Definition lautet^[4]

${\displaystyle s[[Enabled\ {\mathcal {A}}]]\ {\hat {=}}\ \exists t\in {\textbf {St}}\colon s[[{\mathcal {A}}]]t}$ 

für jeden Zustand ${\displaystyle s}$ .

Temporale Logik

Die temporale Logik ist ein System von Regeln und Symbolen, durch die man zeitliche Abläufe erfassen kann. Die Semantik der temporalen Logic baut auf „Verhalten“ (engl. behaviors) auf, wobei damit eine unendliche Folge von Zuständen gemeint ist.^[5]

Temporale Formeln

Temporale Formeln bestehen aus elementaren Formeln sowie booleschen Operatoren und dem unären Operator ${\displaystyle \square }$ , der „immer“ (engl. always) oder „global“ (engl. global) bedeutet. Mit ${\displaystyle \sigma [[F]]}$  wird der boolesche Ausdruck bezeichnet, den das ${\displaystyle F}$  dem Verhalten ${\displaystyle \sigma }$  zuweist. Mit ${\displaystyle \langle s_{0},s_{1},\dots \rangle }$  wird das Verhalten bezeichnet, das im Zustand ${\displaystyle s_{0}}$  beginnt. Man sagt ${\displaystyle \sigma }$  erfüllt ${\displaystyle F}$  genau dann, wenn ${\displaystyle \sigma [[F]]=\operatorname {True} }$ .

Da alle booleschen Ausdrücke durch ${\displaystyle \wedge }$  und ${\displaystyle \lnot }$  beschrieben werden können, genügt es, die Ausdrücke ${\displaystyle [[\lnot F]],[[F\wedge G]]}$  und ${\displaystyle [[\square F]]}$  zu definieren. Die semantischen Definitionen sind somit^[6]

${\displaystyle \sigma [[F\land G]]\ {\hat {=}}\ \sigma [[F]]\land \sigma [[G]]}$ 

${\displaystyle \sigma [[\lnot F]]\ {\hat {=}}\ \lnot \sigma [[F]]}$ 

${\displaystyle \langle s_{0},s_{1},\dots \rangle [[\square F]]\ {\hat {=}}\ \forall n\in \mathbb {N} :\langle s_{n},s_{n+1},s_{n+2},\dots \rangle [[F]],}$ 

wobei der erste Ausdruck bedeutet, dass ein Verhalten ${\displaystyle F\land G}$  erfüllt, falls es beide Formeln ${\displaystyle F}$  und ${\displaystyle G}$  erfüllt. Der zweite Ausdruck bedeutet, dass das Verhalten ${\displaystyle \lnot F}$  erfüllt, wenn es ${\displaystyle F}$  nicht erfüllt. Die linke Seite des dritten Ausdruckes ${\displaystyle \langle s_{0},s_{1},\dots \rangle [[\square F]]}$  bedeutet, dass die Formel ${\displaystyle F}$  ab Zustand ${\displaystyle s_{0}}$  gültig ist. Das heißt, die letzte Definition sagt, dass ${\displaystyle F}$  immer gültig ist (da es per Induktionsschritt definiert ist).^[3]

Schlussendlich-Operator

Die Formel ${\displaystyle \lnot \square \lnot F}$  bedeutet, dass ${\displaystyle F}$  nicht immer falsch ist und wird mit ${\displaystyle \Diamond F}$  abgekürzt und schlussendlich (engl. eventually) genannt:

${\displaystyle \Diamond F\ {\hat {=}}\ \lnot \square \lnot F}$ 

Die Formel ${\displaystyle \Diamond \square F}$  bedeutet, dass ${\displaystyle F}$  schlussendlich immer wahr ist.

Gültigkeit

Eine temporale Formel ${\displaystyle F}$  ist gültig, falls jedes Verhalten die Formel erfüllt:

${\displaystyle \vDash F\ {\hat {=}}\ \forall \sigma \in {\textbf {St}}^{\infty }\colon \sigma [[F]]}$ 

Temporale Logik der Aktionen

Die temporale Logik der Aktionen erhält man, wenn temporale Formeln Aktionen sein können. Die Formeln der TLA bestehen somit aus den logischen Operatoren sowie dem temporalen Operator ${\displaystyle \square }$ .

Ein einfaches Beispiel

Gegeben sei ein Algorithmus, der im Zustand ${\displaystyle x=0}$  und ${\displaystyle z=0}$  beginnt und dann nichtdeterministisch entweder ${\displaystyle x}$  inkrementiert und ${\displaystyle z}$  dekrementiert, oder umgekehrt. Als TLA würde das so aussehen:

${\displaystyle Init_{\phi }\ {\hat {=}}\ (x=0)\wedge (z=0)}$ 

${\displaystyle {\mathcal {A_{1}}}\ {\hat {=}}\ (x'=x+1)\wedge (z'=z-1)}$ 

${\displaystyle {\mathcal {A_{2}}}\ {\hat {=}}\ (x'=x-1)\wedge (z'=z+1)}$ 

${\displaystyle {\mathcal {A}}\ {\hat {=}}\ {\mathcal {A_{1}}}\vee {\mathcal {A_{2}}}}$ 

${\displaystyle \phi \ {\hat {=}}\ Init_{\phi }\wedge \square {\mathcal {A}}}$ 

Dabei bezeichnet ${\displaystyle \phi }$  eine Formel, ${\displaystyle Init_{\phi }}$  den Initialzustand und ${\displaystyle {\mathcal {A}}}$  eine Aktion.

Stotternde Schritte

Als stotternde Schritte (engl. stuttering steps) werden Schritte bezeichnet, die das Programm pausieren. In dem Beispiel oben würde das bedeuten, dass ${\displaystyle x}$  und ${\displaystyle z}$  nicht verändert werden. Ein solcher Schritt lässt sich zum Beispiel so implementieren:^[7]

${\displaystyle Init_{\phi }\ {\hat {=}}\ (x=0)\wedge (z=0)}$ 

${\displaystyle {\mathcal {A_{1}}}\ {\hat {=}}\ (x'=x+1)\wedge (z'=z-1)}$ 

${\displaystyle {\mathcal {A_{2}}}\ {\hat {=}}\ (x'=x-1)\wedge (z'=z+1)}$ 

${\displaystyle {\mathcal {S_{1}}}\ {\hat {=}}\ (x'=x)\wedge (z'=z)}$ 

${\displaystyle {\mathcal {A}}\ {\hat {=}}\ {\mathcal {A_{1}}}\vee {\mathcal {A_{2}}}}$ 

${\displaystyle \phi \ {\hat {=}}\ Init_{\phi }\wedge \square ({\mathcal {A}}\vee {\mathcal {S_{1}}})}$ 

Um stotternde Schritte einfach zu beschreiben, führt man weitere Notationen ein. Mit der Notation ${\displaystyle \langle x',z'\rangle =\langle x,z\rangle }$  wird ${\displaystyle (x'=x)\wedge (z'=z)}$  bezeichnet und statt ${\displaystyle \langle x',z'\rangle }$  zu schreiben, notiert man einfach ${\displaystyle \langle x,z\rangle '}$ . Für eine Zustandsfunktion ${\displaystyle f}$  und eine Aktion ${\displaystyle {\mathcal {A}}}$  definieren wir:

${\displaystyle [{\mathcal {A}}]_{f}\ {\hat {=}}\ {\mathcal {A}}\vee (f'=f)}$ 

Dann bedeutet ${\displaystyle [{\mathcal {M}}]_{\langle x,z\rangle }}$  somit:

${\displaystyle [{\mathcal {M}}]_{\langle x,z\rangle }={\mathcal {M}}\vee (\langle x,z\rangle '=\langle x,z\rangle )={\mathcal {M}}\vee ((x'=x)\wedge (z'=z))={\mathcal {M}}\vee {\mathcal {S_{1}}}}$ 

Somit lassen sich die beiden Zeilen

${\displaystyle {\mathcal {S_{1}}}\ {\hat {=}}\ (x'=x)\wedge (z'=z)}$ 

${\displaystyle \phi \ {\hat {=}}\ Init_{\phi }\wedge \square ({\mathcal {A}}\vee {\mathcal {S_{1}}})}$ 

vereinfachen zu

${\displaystyle \phi \ {\hat {=}}\ Init_{\phi }\wedge \square [{\mathcal {A}}]_{\langle x,z\rangle }}$ .

Syntax und Semantik

Für die TLA gelten die Symbole der booleschen Algebra sowie alle oben definierten Ausdrücke und zusätzlich

${\displaystyle {[{\mathcal {A}}]}_{f}}$	${\displaystyle {\hat {=}}}$	${\displaystyle {\mathcal {A}}\lor (f'=f)}$
${\displaystyle {\langle {\mathcal {A}}\rangle }_{f}}$	${\displaystyle {\hat {=}}}$	${\displaystyle {\mathcal {A}}\land (f'\neq f),}$

wobei ${\displaystyle {\mathcal {A}}}$  eine Aktion ist, ${\displaystyle f}$  eine Zustandsfunktion ist und durch Anwendung logischer Gesetze ${\displaystyle ({\mathcal {A}}\wedge (f'\neq f))=\lnot (\lnot {\mathcal {A}}\vee (f'=f))}$  gilt.

Für die Formel-Syntax gilt:

${\displaystyle \langle Formel\rangle }$

${\displaystyle {\hat {=}}}$

${\displaystyle \langle Formel\rangle \land \langle Formel\rangle }$  ${\displaystyle \vert }$  ${\displaystyle \langle Formel\rangle \lor \langle Formel\rangle }$  ${\displaystyle \vert }$  ${\displaystyle \neg \langle Formel\rangle }$  ${\displaystyle \vert }$  ${\displaystyle \Box \langle Formel\rangle }$  ${\displaystyle \vert }$  ${\displaystyle \Diamond \langle Formel\rangle }$  ${\displaystyle \vert }$  ${\displaystyle \langle Pr{\ddot {a}}dikat\rangle }$  ${\displaystyle \vert }$  ${\displaystyle \Box {\lbrack Aktion\rbrack }_{\langle f\rangle }}$  ${\displaystyle \vert }$  ${\displaystyle \Box {\langle Aktion\rangle }_{\langle f\rangle }}$

Das Symbol ${\displaystyle |}$  ist als Trennungszeichen zu verstehen.

Verhaltenseigenschaften

Eine Sicherheitseigenschaft (engl. safety property) garantiert, dass unerwünschte Zustände nicht passieren. Zum Beispiel ist der durch ${\displaystyle Init_{\phi }}$  spezifizierte Start eine Sicherheitseigenschaft.

Eine Lebendigkeitseigenschaft (engl. liveness property) garantiert, dass erwünschte Zustände erreicht werden, was mit dem ${\displaystyle \Diamond \square {\mathcal {A}}}$  formuliert werden kann. Möchte man eine Fairness und dass zwei Eigenschaften unendlich Mal wiederholt werden, so verwendet man stattdessen ${\displaystyle \Diamond \square {\mathcal {A}}_{1}\wedge \Diamond \square {\mathcal {A}}_{2}}$ . Somit würde man im obigen Beispiel Folgendes erhalten:

${\displaystyle \phi \ {\hat {=}}\ Init_{\phi }\wedge \square [{\mathcal {A}}]_{\langle x,z\rangle }\wedge \Diamond \square {\mathcal {A}}_{1}\wedge \Diamond \square {\mathcal {A}}_{2}}$ 

Schwache und starke Fairness

In einem nebenläufigen System unterscheidet man zwischen schwacher und starker Fairness.

Schwache Fairness ${\displaystyle \operatorname {WF} }$  (engl. weak fairness, justice) bedeutet, dass eine Aktion unendlich oft ausgeführt werden muss, wenn ihre Ausführung ab einem bestimmten Zeitpunkt immer möglich ist.

Starke Fairness ${\displaystyle \operatorname {SF} }$  (engl. strong fairness, compassion) bedeutet, dass eine Aktion ausgeführt werden muss, wenn ihre Ausführung so oft möglich ist.

Ist ein Verhalten stark fair bezüglich einer Aktion, so ist es auch schwach fair für diese Aktion.

Siehe auch

• Formale Systeme
• Formale Semantik
• Formale Sprache

Literatur

• Leslie Lamport: The Temporal Logic of Actions. ACM Transactions on Programming Languages and Systems, Band 16, Mai 1994, S. 872–892 (PDF; 485 kB).
• Leslie Lamport: Introduction to TLA. Digital System Research Center, Palo Alto 1997 (PDF; 121 kB).

Weblinks

• Stephan Merz: Temporal logic guide (englisch).
• TLA+ – The way to specify. Community website on TLA+ and PlusCal (englisch).
• Leslie Lamport: The TLA+ Home Page (englisch).
• Patricia Ulmer: Temporal Logic of Action. (Memento vom 15. April 2016 im Internet Archive). (PDF; 413 kB). Proseminar-Ausarbeitung, TU München.
• Leslie Lamport: My Papers About TLA and TLA+.

Einzelnachweise

1. Krister Segerberg, John-Jules Meyer, Marcus Kracht, Edward N. Zalta: The Logic of Action. In: The Stanford Encyclopedia of Philosophy. Metaphysics Research Lab, Stanford University, 2020, abgerufen am 25. September 2021 (englisch). 
2. Leslie Lamport: The Temporal Logic of Actions. In: ACM Transactions on Programming Languages and Systems. Vol. 16, Nr. 3, 1994, S. 875, doi:10.1145/177492.177726 (azurewebsites.net [PDF; 485 kB]). 
3. Leslie Lamport: The Temporal Logic of Actions. In: ACM Transactions on Programming Languages and Systems. Vol. 16, Nr. 3, 1994, doi:10.1145/177492.177726 (azurewebsites.net [PDF; 485 kB]). 
4. Leslie Lamport: The Temporal Logic of Actions. In: ACM Transactions on Programming Languages and Systems. Vol. 16, Nr. 3, 1994, S. 877, doi:10.1145/177492.177726 (azurewebsites.net [PDF; 485 kB]). 
5. Zahar Manna, Amir Pnueli: The Temporal Logic of Reactive and Concurrent Systems. Hrsg.: Springer Verlag. 1992, S. 179, doi:10.1007/978-1-4612-0931-7. 
6. Leslie Lamport: The Temporal Logic of Actions. In: ACM Transactions on Programming Languages and Systems. Vol. 16, Nr. 3, 1994, S. 878, doi:10.1145/177492.177726 (azurewebsites.net [PDF; 485 kB]). 
7. Leslie Lamport: The Temporal Logic of Actions. In: ACM Transactions on Programming Languages and Systems. Vol. 16, Nr. 3, 1994, S. 881–882, doi:10.1145/177492.177726 (azurewebsites.net [PDF; 485 kB]).