---

{ es:EO+(Message). failset:Id List. T:LimitedType. f:.
  acceptors,leaders:Id List. Decide,Input:EClass(T).
  tg1a,tg1b,tg2a,tg2b,tgpaxos:Id.
    (Paxos-spec9-body(es;T;f;acceptors;leaders;...;...;tg1a;...;...;...;...;...)
     {i''}) }

{ Proof }

---

Definitions occuring in Statement :  Paxos-spec9-body: Paxos-spec9-body(es;T;f;acceptors;leaders;Input;Decide;...;...;...;...;...;...),  Message: Message,  eclass: EClass(A[eo; e]),  event-ordering+: EO+(Info),  Id: Id,  nat: ,  prop: ,  all: x:A. B[x],  member: t  T,  list: type List,  limited-type: LimitedType
Definitions :  Auto: Error :Auto,  Unfold: Error :Unfold,  RepeatFor: Error :RepeatFor,  THENL_v2: Error :THENL,  THENL_cons: Error :THENL_cons,  ExRepD: Error :ExRepD,  THENL_cons: Error :THENL_nil,  tactic: Error :tactic,  AssertBY: Error :AssertBY,  subtype_rel: A r B,  es-E-interface: E(X),  src-class: Error :src-class,  CollapseTHEN: Error :CollapseTHEN,  THENM: Error :THENM,  CollapseTHENA: Error :CollapseTHENA,  MaAuto: Error :MaAuto,  int: ,  bool: ,  es-interface: Temporary AbsInterface(es;A),  union: left + right,  product: x:A  B[x],  nat: ,  unit: Unit,  Paxos-spec9-body: Paxos-spec9-body(es;T;f;acceptors;leaders;Input;Decide;...;...;...;...;...;...),  deq: EqDecider(T),  cand: A c B,  nil: [],  exists: x:A. B[x],  l_member: (x  l),  sqequal: s ~ t,  limited-type: LimitedType,  intensional-universe: IType,  es-is-interface: (e in X),  nat_plus: ,  isect: x:A. B[x],  p-outcome: Outcome,  rationals: ,  iff: P  Q,  rev_implies: P  Q,  or: P  Q,  less_than: a < b,  sq_type: SQType(T),  guard: {T},  fpf: a:A fp-> B[a],  top: Top,  ge: i  j ,  strong-subtype: strong-subtype(A;B),  fpf-cap: f(x)?z,  so_lambda: x y.t[x; y],  grp_car: Error :grp_car,  real: ,  subtype: S  T,  let: let,  so_lambda: x.t[x],  void: Void,  false: False,  atom: Atom$n,  accum-class: accum-class(a,x.f[a; x]; x.base[x]; X),  es-tagged-true-class: Tagged_tt(X),  map-class: (f[v] where v from X),  spread: spread def,  es-prior-class-when: (X'?d) when Y,  minus: -n,  es-interface-accum: es-interface-accum(f;x;X),  imax: imax(a;b),  le_int: i z j,  es-filter-image: f[X],  spreadn: spread3,  ifthenelse: if b then t else f fi ,  lt_int: i <z j,  inl: inl x ,  pair: <a, b>,  inr: inr x ,  it: ,  es-collect-opt-max: es-collect-opt-max,  pi1: fst(t),  pi2: snd(t),  es-in-ports: Error :es-in-ports,  prop: ,  add: n + m,  multiply: n * m,  natural_number: $n,  no_repeats: no_repeats(T;l),  le: A  B,  length: ||as||,  filter: filter(P;l),  lambda: x.A[x],  deq-member: deq-member(eq;x;L),  id-deq: IdDeq,  and: P  Q,  l_all: (xL.P[x]),  all: x:A. B[x],  es-E: E,  implies: P  Q,  function: x:A  B[x],  es-kind: Error :es-kind,  es-valtype: Error :es-valtype,  not: A,  set: {x:A| B[x]} ,  Knd: Knd,  assert: b,  isrcv: isrcv(k),  rcvs-on: Rcvs(tg) on links,  links-from-to: links(tg) from srclocs to dstlocs,  Id: Id,  list: type List,  equal: s = t,  event_ordering: EO,  member: t  T,  universe: Type,  ORELSE: Error :ORELSE,  so_lambda: so_lambda(x,y,z.t[x; y; z]),  bor: p q,  bimplies: p  q,  es-eq-E: e = e',  eq_pcl_key: Error :eq_pcl_key,  pcl-key-contains: Error :pcl-key-contains,  eq_pcl_basic: Error :eq_pcl_basic,  eq_pcl_term: Error :eq_pcl_term,  IdLnk: IdLnk,  isrcvl: isrcvl(l;k),  can-apply: can-apply(f;x),  isl: isl(x),  es-loc: loc(e),  fset: fset(T),  b-union: A  B,  fpf-sub: f  g,  partitions: partitions(I;p),  i-member: r  I,  rleq: x  y,  rnonneg: rnonneg(r),  req: x = y,  is_accum_splitting: is_accum_splitting(T;A;L;LL;L2;f;g;x),  is_list_splitting: is_list_splitting(T;L;LL;L2;f),  prime_ideal_p: Error :prime_ideal_p,  integ_dom_p: Error :integ_dom_p,  grp_leq: Error :grp_leq,  monoid_hom_p: Error :monoid_hom_p,  group_p: Error :group_p,  monoid_p: Error :monoid_p,  monot: Error :monot,  cancel: Error :cancel,  fun_thru_2op: Error :fun_thru_2op,  fun_thru_1op: Error :fun_thru_1op,  dist_1op_2op_lr: Error :dist_1op_2op_lr,  action_p: Error :action_p,  bilinear_p: Error :bilinear_p,  bilinear: Error :bilinear,  inverse: Error :inverse,  comm: Error :comm,  assoc: Error :assoc,  ident: Error :ident,  coprime: CoPrime(a,b),  connex: Connex(T;x,y.R[x; y]),  anti_sym: AntiSym(T;x,y.R[x; y]),  trans: Trans(T;x,y.E[x; y]),  sym: Sym(T;x,y.E[x; y]),  refl: Refl(T;x,y.E[x; y]),  eqfun_p: IsEqFun(T;eq),  inv_funs: InvFuns(A;B;f;g),  uni_sat: a = !x:T. Q[x],  sq_stable: SqStable(P),  f2f+-pred: Error :f2f+-pred,  rcv-it: Error :rcv-it,  snd-it: Error :snd-it,  same-thread: same-thread(es;p;e;e'),  es-r-immediate-pred: es-r-immediate-pred(es;R;e';e),  ses-legal-sequence: Legal(pas) given prvt,  ses-action: Action(e),  path-goes-thru: x-f*-y thru i,  cut-order: a (X;f) b,  es-fset-loc: i  locs(s),  collect-event: collect-event(es;X;n;v.num[v];L.P[L];e),  existse-between3: e(e1,e2].P[e],  existse-between2: e[e1,e2].P[e],  alle-between2: e[e1,e2].P[e],  existse-between1: e[e1,e2).P[e],  alle-between1: e[e1,e2).P[e],  alle-le: ee'.P[e],  alle-lt: e<e'.P[e],  existse-le: ee'.P[e],  existse-before: e<e'.P[e],  es-causle: e c e',  es-causl: (e < e'),  es-le: e loc e' ,  es-locl: (e <loc e'),  cs-precondition: state s may consider v in inning i,  cs-archive-blocked: in state s, ws' blocks ws from archiving v in inning i,  cs-inning-committable: in state s, inning i could commit v ,  cs-inning-committed: in state s, inning i has committed v,  cs-passed: by state s, a passed inning i without archiving a value,  cs-archived: by state s, a archived v in inning i,  cs-not-completed: in state s, a has not completed inning i,  fset-closed: (s closed under fs),  f-subset: xs  ys,  fset-member: a  s,  q-rel: q-rel(r;x),  qless: r < s,  qle: r  s,  fun-connected: y is f*(x),  l_disjoint: l_disjoint(T;l1;l2),  prime: prime(a),  reducible: reducible(a),  inject: Inj(A;B;f),  l_contains: A  B,  l_exists: (xL. P[x]),  infix_ap: x f y,  apply: f a,  grp_lt: Error :grp_lt,  set_lt: Error :set_lt,  set_leq: Error :set_leq,  assoced: a ~ b,  divides: b | a,  decidable: Dec(P),  squash: T,  rcv-class: Error :rcv-class,  imax-class: (maximum f[v]  lb with v from X),  es-interface-at: X@i,  es-isrcv: Error :es-isrcv,  bfalse: ff,  bnot: b,  es-filtered-propagation: Error :es-filtered-propagation,  surject: Surj(A;B;f),  decide: case b of inl(x) => s[x] | inr(y) => t[y],  true: True,  btrue: tt,  band: p  q,  eq_id: a = b,  ldst: destination(l),  lsrc: source(l),  lnk: lnk(k),  es-filtered-propagate-iff1: Error :es-filtered-propagate-iff1,  fpf-dom: x  dom(f),  eq_knd: a = b,  locl: locl(a),  append: as @ bs,  so_apply: x[s],  class-program: ClassProgram(T),  ma-state: State(ds),  decl-state: Error :decl-state,  es-state: Error :es-state,  es-vartype: Error :es-vartype,  sum: (f[x] | x < k),  sum-map: f[x] for x  L,  hd: hd(l),  tl: tl(l),  es-interface-val: val(X,e),  rel_plus: R,  cless: Error :cless,  mapfilter-class: (f[v] where v from X such that P[v]),  eq_int: (i = j),  es-interface-pair-prior: X;Y,  es-collect-filter: Collect(size v's from X with maximum num[v] such that P[v]),  es-propagate-iff1: X  Y:T,  cons: [car / cdr],  consensus-rcv: consensus-rcv(V;A),  consensus-state3: consensus-state3(T),  MaName: MaName,  select: l[i],  remove-repeats: remove-repeats(eq;L),  last: last(L),  map: map(f;as)
Lemmas :  l_member-settype,  decidable__equal_Kind,  decidable__l_member,  es-loc_wf,  es-le_wf,  alle-lt_wf,  bfalse_wf,  es-interface-val_wf2,  es-locl_wf,  es-interface-at_wf,  es-propagate-iff1_wf,  l_all_wf,  nat_plus_wf,  es-collect-filter_wf,  es-interface-pair-prior_wf,  eq_int_wf,  mapfilter-class_wf,  assert-eq-knd,  member_singleton,  assert_elim,  bool_sq,  Error :is-src,  Knd_sq,  E-prior-class-when,  E-map-class,  rev_implies_wf,  iff_wf,  decidable__assert,  sq_stable_from_decidable,  es-E-interface-property,  member-interface-at,  lnk_wf,  IdLnk_wf,  lsrc_wf,  ldst_wf,  eq_id_wf,  bnot_wf,  assert-eq-id,  not_functionality_wrt_iff,  assert_of_bnot,  iff_transitivity,  eqff_to_assert,  eqtt_to_assert,  band_wf,  Error :es-filtered-propagate-iff1_wf,  surject_wf,  Error :es-filtered-propagation_wf,  unit_wf,  nat_wf,  es-interface_wf,  it_wf,  map-class_wf,  es-prior-class-when_wf,  member_wf,  pi1_wf,  lt_int_wf,  ifthenelse_wf,  accum-class_wf,  es-tagged-true-class_wf,  bool_wf,  le_wf,  subtype_rel_wf,  length_wf_nat,  es-interface-subtype_rel,  top_wf,  es-interface-top,  le_int_wf,  nat_properties,  imax_ub,  imax_wf,  es-interface-accum_wf,  es-filter-image_wf,  pi2_wf,  es-collect-opt-max_wf,  Error :src-class_wf,  es-is-interface_wf,  Id_wf,  assert_wf,  es-E-interface_wf,  intensional-universe_wf,  Error :in-ports-src-class,  guard_wf,  Error :es-kind_wf,  l_member_wf,  Knd_wf,  Error :es-valtype_wf,  es-E_wf,  Error :es-in-ports_wf,  isrcv_wf,  not_wf,  l_all_wf2,  id-deq_wf,  deq-member_wf,  filter_wf,  length_wf1,  no_repeats_wf,  rcvs-on_wf,  links-from-to_wf,  event_ordering_wf

---

\mforall{}es:EO+(Message).  \mforall{}failset:Id  List.  \mforall{}T:LimitedType.  \mforall{}f:\mBbbN{}.  \mforall{}acceptors,leaders:Id  List.
\mforall{}Decide,Input:EClass(T).  \mforall{}tg1a,tg1b,tg2a,tg2b,tgpaxos:Id.
    (Paxos-spec9-body(es;T;f;acceptors;leaders;Input;Decide;tg1a;tg1b;tg2a;tg2b;tgpaxos;failset)
    \mmember{}  \mBbbP{}\{i''\})


Date html generated: 2010_08_30-AM-01_01_39
Last ObjectModification: 2010_08_21-PM-09_49_00

Home Index