第7章程序验证内容概述程序逻辑：描述和论证程序行为的逻辑从程序到定理从定理到证明循环不变式的推断

Slides:

Advertisements

Similar presentations

课前寄语 1 、保持纪律 2 、相互配合. 第三节公民的投资 —— 公民的存款储蓄课堂导入.

Advertisements

台南市立後甲國中訓導工作簡報報告人：訓導主任傅寶源歡迎蒞臨指導. 訓導處是一個關懷學生生活問題、處理學生生活事務的溫馨園地，舉凡生活常規、安全防護、交通安全之教育，民主法治、社團活動、訓育活動之訓練，衛生習慣、飲食健康、預防疾病之培養，體育活動，運動競賽、身心健康之鍛練，均有專人專責為同學服務。

旅遊實務Ⅰ 授課教師：李健民上課班級： 320. 課程大綱旅遊業之設立程序旅行業組織結構旅行業之分類旅行業之管理.

親 ( 四 ) 親近神的路. 一、親的三字訣、七字訣：親近神，親愛人；與主交通親近神，同情關心親愛人。甚麼是親？ 1. 親有親近、親愛，更有關心、同情、親切的意思。 2. 親的人與人沒有間隔，拉近人與人之間的距離，並且樂意幫助人，與人相調建造在一起。

While 迴圈 - 不知重複執行次數

第二班群教師團隊 105 張心平 107 鐘于寧 106 黃意評 108 鄭婉茹. 第二班群之班親會說明學校規定事項說明教學活動說明班群活動介紹.

申論題要拿高分並不容易，因為他是有一定的技巧的，如果你遵照下列技巧來作答申論題，相信高分並不難拿，其技巧如下：

月子保姆理论知识试卷.

102大學甄選入學個人申請、繁星推薦說明主講人：簡慧嫻.

新進教師研習教務處報告報告人:教務處林永仁 2011 年 8 月31日.

「明清時期台灣古典散文」教師：田啟文.

新頒解釋函令 ● 所得稅扣(免)繳相關法令、 ● 所得稅扣(免)繳申報實務 ● 扣繳常見稅務違章類型財政部南區國稅局屏東分局

肖冰深圳市达晨创业投资有限公司副总裁深圳市达晨财信创业投资管理公司总裁

鼻炎症狀：鼻(眼睛)內發癢或不舒服、打噴嚏、流鼻涕(水)、鼻塞………等。鼻子內的任何發炎。

一、平面点集定义: x、y ---自变量，u ---因变量. 点集 E ---定义域， --- 值域.

迴圈迴圈基本觀念 while迴圈 do 迴圈 for迴圈巢狀迴圈迴圈設計注意事項其他控制指令迴圈與選擇的組合.

“淡雅浓香中国风尚” 山东低度浓香白酒整合传播侧记

模块七房地产营销渠道策略主要内容房地产营销渠道类型房地产营销渠道选择方法开发商与代理商的合作模式.

遣詞造句知多少？中文系王偉勇教授兼通識教育中心中心主任.

（4）理论体系与实训模块必须衔接、融合本课程把理论教学体系与实训模块结构连接成一个完整的高职课程体系。

最有利標及評選優勝廠商講師劉金龍經歷：臺中市政府發包科科長.

三、市场营销学研究的基本方法 (1)产品研究法。是以物为中心的研究方法，即在产品分类的基础上，对各类产品市场分别进行研究。 (2)机构研究法。是以研究市场营销制度为出发点，体现以人为中心的研究方法，即集中对整个市场营销系统中的各特定机构的性质和功能进行研究。 (3)职能研究法。是以研究产品从生产者到消费者手中所进行的各种营销活动过程中，市场营销组织所发挥的功能的方法。

排球竞赛规则与裁判法.

青春期要長大囉！男女有別生命的誕生~兩性結合才有下一代的新生命為什麼會有月經？經痛怎麼辦？渡過快樂青春喜歡自己

管理学基本知识.

滁州学院首届微课程教学设计竞赛课程名称：高等数学主讲人：胡贝贝数学与金融学院.

親愛的吉姆舅舅：　　今天吃完晚餐後，奶奶說，在家裡情況變好以前，您要我搬到城裡跟您住。奶奶有沒有跟您說，爸爸已經好久沒有工作，也好久沒有人請媽媽做衣服了？　　我們聽完都哭了，連爸爸也哭了，但是媽媽說了一個故事讓我們又笑了。她說：您們小的時候，她曾經被您追得爬到樹上去，真的嗎？　　雖然我個子小，但是我很強壯，只要我會做的我都可以幫忙，但是，奶奶說，做其他事情以前，要先把功課做完。

网络的利与弊 2017/3/19 该课件由【语文公社】

食品营养成分的检验. 食品营养成分的检验科学探究的一般过程：形成假设设计方案收集数据表达交流处理信息得出结论探究：馒头和蛋糕中是否含有淀粉和脂肪假设:馒头和蛋糕中含有淀粉和脂肪.

二综防火设计分析.

上課囉職場甘苦談小資男孩向錢衝育碁數位科技呂宗益/副理.

钟南山谈养生之道健康长寿靠自己钟南山谈养生之道健康长寿靠自己资料来源：钟南山讲话配乐：莫扎特第40交响乐 PPS编辑制作：张艺全于广州 2011年11月.

致亲爱的同学们天空的幸福是穿一身蓝森林的幸福是披一身绿阳光的幸福是如钻石般耀眼老师的幸福是因为认识了你们愿你们努力进取，永不言败.

第 5 章流程控制 (一)：條件分支.

最有利標及評選優勝廠商講師劉金龍經歷：臺中市政府發包科科長.

當家新鮮事.

对程序进行推理的逻辑计算机科学导论第二讲

拾貳、教育行政一、教育行政的意義教育行政，可視為國家對教育事務的管理，以增進教育效果。教育行政，乃是一利用有限資源在教育參

課程銜接九年一貫暫行綱要( )  九年一貫課程綱要( ) 國立台南大學數學教育系謝堅.

正、反比例意义的巩固练习.

2.4 二元一次方程组的应用(1).

兒童及少年福利服務講師：張智昇.

体育选项课件健美操理论课任课教师：黄明礼湄洲湾职业技术学院.

中國美術史報告-我最喜歡的一幅畫班級:2年2班姓名:郭馥甄座號:23.

高鐵炫風製作人林淑蘭老師.

行政院勞工委員會勞工保險局勞退舊制與新制分析說明高雄市政府人事處 99年2月1日.

2007/5/23初訪螢光蕈 (等了兩年).

C++Primer 3rd edition 中文版 Chap 5

快速排序法 (Quick Sort).

清华大学计算机科学与技术系李恺威简单数理逻辑及其应用清华大学计算机科学与技术系李恺威

計數式重複敘述 for 迴圈 P

排列组合 1. 两个基本原理分类加法计数原理分步乘法计数原理.

现代信息技术微电子技术计算机技术传感技术通信技术处理、存储信息的技术传感、采集技术传递信息的技术

第三节　常见天气系统.

形式语义学 Formal Semantics

資料結構與C++程式設計進階遞迴(Recursion) 講師：林業峻 CSIE, NTU 6/ 17, 2010.

本节内容 Lua基本语法.

問題解決與流程圖高慧君　台北市立南港高中 2006年12月22日.

遞迴 Recursion.

高雄區12年國教入學方式報告人：高雄市政府教育局局長鄭新輝.

第1章数据结构基础概论本章主要介绍以下内容数据结构研究的主要内容数据结构中涉及的基本概念算法的概念、描述方法以及评价标准.

欢迎乘座远航号！让我们一起去知识的海洋寻宝吧！

「同根同心」- 交流計劃廣州及珠三角經濟發展兩天考察團 2016

判斷(選擇性敘述) if if else else if 條件運算子.

算法的基本思想：第6章内部排序 6.2 气泡排序将待排序的记录看作是竖着排列的“气泡”，关键字较小的记录比较轻，从而要往上浮。

第六章程序设计初步一、程序设计的基本方法.

用加減消去法解一元二次聯立方程式台北縣立中山國中第二團隊.

99 教育部專案補助計畫案明細大類分項教育部補助學校配合款工作項目計畫主持人執行期限文號備註設備費業務費管理學院

Presentation transcript:

第7章程序验证内容概述程序逻辑：描述和论证程序行为的逻辑从程序到定理从定理到证明循环不变式的推断第7章程序验证内容概述程序逻辑：描述和论证程序行为的逻辑 Hoare逻辑 Dijkstra最弱前条件演算从程序到定理验证条件生成从定理到证明定理证明器判定过程循环不变式的推断以George C. Necula教授的讲稿为主来介绍

程序逻辑 Hoare逻辑良形公式（well-formed formula）的形式为 { P } C { Q } C是程序片段需要介绍编程语言 P 和Q是断言需要介绍断言及推理规则 { P } C { Q }称为程序规范需要介绍规范语言及推理规则 Hoare逻辑也称为语言的一种公理语义

作为例子的核心编程语言语法整数表达式 E ::= n | x | E | E + E | E  E | E  E | ( E ) 布尔表达式 B ::= true | false | !B | B & B | B || B | E < E | ( B ) 命令 C ::= x = E | C ; C | if B { C } else { C } | while B { C } 例子 y = 1; z = 0; while (z != x) { z = z +1; y = y  z }

Hoare逻辑断言语言 Hoare逻辑的良形公式用来描述程序变量满足的性质，如x==5, x+y <30 通常，断言P, Q的语法同编程语言布尔表达式的语法有些区别：如可以出现量词 Hoare逻辑的良形公式 { P } C { Q } C是一段程序，P和Q分别是C的前条件和后条件例如 { x == 5 } x = x + 1 { x == 6 }

Hoare逻辑 Hoare逻辑良形公式{ P } C { Q }的解释部分正确性在满足P的任何状态下执行C，若C终止则结果状态一定满足Q。记作  par { P } C { Q } 完全正确性在满足P的任何状态下执行C，则C一定终止并且结果状态一定满足Q。记作  tot { P } C { Q } 通常建议用部分正确性证明＋终止性证明来得到完全正确性证明

Hoare逻辑  例1 Succ  例2 Fac1 {  } { x >= 0 } a = x + 1; y = 1; if (a -1 == 0 ) { z = 0; y = 1; while ( z != x ) { } else { z = z + 1; y = a; y = y  z; } } { y == x + 1 } { y == x ! }

Hoare逻辑  例2 Fac1  例3 Fac2 { x >= 0 } x0是辅助的逻辑变量 y = 1; { x >= 0  x == x0 } z = 0; y = 1; while ( z != x ) { while ( x != 0 ) { z = z + 1; y = y  x; y = y  z; x = x  1; } } { y == x ! } { y == x0 ! }

Hoare逻辑部分正确性的证明规则赋值公理 { Q[E/x] } x = E { Q } 赋值公理的实例 { 2 == y } x = 2 { x == y } { 2 > 0 } x = 2 { x > 0 } { x + 1 + 5 == y } x = x + 1 { x + 5 ==y } { x + 1 > 0  y > 0 } x = x + 1 { x > 0  y > 0 } { Q[E/x] } x = E { Q }

Hoare逻辑部分正确性的证明规则赋值公理 { Q[E/x] } x = E { Q } 复合规则条件规则循环规则 { Q[E/x] } x = E { Q } { P } C1 { R } { R } C2 { Q } { P } C1; C2 { Q } { P  B } C1 { Q } { P  B } C2 { Q } { P } if B {C1} else {C2} { Q } { I  B } C { I } { I } while B {C } {I  B}

AR P P { P } C { Q } AR Q  Q Hoare逻辑部分正确性的证明规则推论规则 AR P P 表示P P在谓词逻辑的自然演绎演算中可以证明 AR P P { P } C { Q } AR Q  Q { P } C { Q }

Hoare逻辑 //一个简单的例子 n >= 0 function mult(m, n) { x = 0 ; { (x == m0)  (0 <= n) } y = 0 ; { (x == my)  (y <= n) } while y < n do { { (x+m == m(y+1))  ((y+1) <= n) } x = x + m ; { (x == m(y+1))  ((y+1) <= n) } y = y + 1 ; } } x = m  n

最弱前条件演算 Dijkstra的思路为了验证 { P } C { Q }，找出所有使得 { P } C { Q }的断言P，称为Pre(C, Q) 验证存在P Pre(C, Q) that P  P 这些断言形成一个格变成计算WP(C, Q)并且证明P  WP(C, Q) false true  强弱 Pre(C, Q) 最弱前条件WP(C, Q) P

最弱前条件演算断言形成一个格 WP(C, Q) = lub(Pre(C, Q)) 按上面的式子计算WP(C, Q)有时是困难的 1、lub {P1, P2} = P1  P2 2、lub PS = PPS P 3、但是当集合PS无限时怎么办？

最弱前条件演算断言形成一个格 WP(C, Q) = lub(Pre(C, Q)) 按上面的式子计算WP(C, Q)有时是困难的 1、lub {P1, P2} = P1  P2 2、lub PS = PPS P 3、但是当集合PS无限时怎么办？即使得到了WP(C, Q)，检查蕴涵P  WP(C, Q)也可能是困难的

最弱前条件演算演算规则（和Hoare逻辑规则对比） WP(x = E, Q) = Q[E/x] WP(C1;C2 , Q) = WP (C1, WP(C2, Q)) WP(if B {C1} else {C2}, Q) = (B  WP(C1, Q))  (B  WP(C2, Q)) { Q[E/x] } x = E { Q } { P } C1 { R } { R } C2 { Q } { P } C1; C2 { Q } { P  B } C1 { Q } { P  B } C2 { Q } { P } if B {C1} else {C2} { Q }

最弱前条件演算演算规则对于循环语句怎么办？ { I  B } C { I } 定义一族WP WPk(while B { C }, Q) = “循环的执行终止于不多于k次的迭代，其终止状态满足Q”的最弱前条件： WP0 =  B  Q WP1 = B  WP(C, WP0)   B  Q . . . WP(while B {C}, Q) = k 0WPk = lub{WPk | k  0} { I  B } C { I } { I } while B {C } { Q }

最弱前条件演算演算规则计算非常困难能否找到容易一些并且够用的办法 WPk(while B { C }, Q) = “循环的执行终止于不多于k次的迭代，其终止状态满足Q”的最弱前条件： WP0 =  B  Q WP1 = B  WP(C, WP0)   B  Q . . . WP(while B {C}, Q) = k 0WPk = lub{WPk | k  0}

验证条件生成验证条件回想一下我们想达到的目的 false true  强弱 Pre(C, Q) P 最弱前条件WP(C, Q)

验证条件生成验证条件回想一下我们想达到的目的我们构造一个验证条件VC(C, Q) 1、循环需要有循环不变式标注 2、VC要强于WP 3、但仍然要弱于P， P  VC(C, Q)  WP(C, Q) false true  强弱 Pre(C, Q) 最弱前条件WP(C, Q) P 验证条件VC(C, Q)

验证条件生成验证条件循环不变式很难写出, 考虑源于QuickSort的代码 int partition(int *a, int L0, int H0, int pivot) { int L = L0, H = H0; while(L < H) { while(a[L] < pivot) L++; while(a[H] > pivot) H --; if(L < H) { swap a[L] and a[H] } } return L } // 仅考虑内存安全，外循环的不变式是什么？循环不变式的自动生成是尚未解决的问题

验证条件生成验证条件生成 VC的计算方式类似于WP的计算只有while语句例外 VC(while B {C }, Q ) = I  ( I  B  VC(C, I) )  (I  B  Q ) 循环不变式 I 由外部提供 { I  B } C { I } { I } while B {C } { Q } I 在循环入口成立 I 在循环任意次迭代都保持 Q 在循环终止时成立

验证条件生成以这个函数为例，解释验证条件生成 function mult(m, n){ x = 0 ; y = 0 ; while y < n do { x = x + m ; y = y + 1 ; } 以这个函数为例，解释验证条件生成

验证条件生成由程序设计者提供由程序设计者提供 n  0 // 前条件 function mult(m, n){ x = 0 ; y = 0 ; while y < n do { x = x + m ; y = y + 1 ; } } x = m  n // 后条件由程序设计者提供由程序设计者提供

验证条件生成也由程序设计者提供 n  0 function mult(m, n){ x = 0 ; y = 0 ; while y < n do { (x = my)  (y  n) // 循环不变式 x = x + m ; y = y + 1 ; } } x = m  n 也由程序设计者提供

验证条件生成由验证条件生成器生成 n  0 function mult(m, n){ x = 0 ; y = 0 ; while y < n do { (x = my)  (y  n) x = x + m ; y = y + 1 ; } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n // 第一个验证条件由验证条件生成器生成

验证条件生成由最弱前条件演算插入 n  0 function mult(m, n){ x = 0 ; y = 0 ; while y < n do { (x = my)  (y  n) x = x + m ; (x = m(y+1))  ((y+1)  n) y = y + 1 ; // 在语句序列中的断言 } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n 由最弱前条件演算插入

验证条件生成 n  0 function mult(m, n){ x = 0 ; y = 0 ; while y < n do { (x = my)  (y  n) (x+m = m(y+1))  ((y+1)  n) x = x + m ; (x = m(y+1))  ((y+1)  n) y = y + 1 ; } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n

验证条件生成第2个验证条件 n  0 function mult(m, n){ x = 0 ; y = 0 ; ((x = my)  (y  n))  (y < n)  (x+m = m(y+1))  ((y+1)  n) while y < n do { (x = my)  (y  n) (x+m = m(y+1))  ((y+1)  n) x = x + m ; (x = m(y+1))  ((y+1)  n) y = y + 1 ; } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n 第2个验证条件

验证条件生成 n  0 function mult(m, n){ x = 0 ; (x = m0)  (0  n) y = 0 ; ((x = my)  (y  n))  (y < n)  (x+m = m(y+1))  ((y+1)  n) while y < n do { (x = my)  (y  n) (x+m = m(y+1))  ((y+1)  n) x = x + m ; (x = m(y+1))  ((y+1)  n) y = y + 1 ; } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n

验证条件生成 n  0 function mult(m, n){ (0 = m0)  (0  n) x = 0 ; (x = m0)  (0  n) y = 0 ; ((x = my)  (y  n))  (y < n)  (x+m = m(y+1))  ((y+1)  n) while y < n do { (x = my)  (y  n) (x+m = m(y+1))  ((y+1)  n) x = x + m ; (x = m(y+1))  ((y+1)  n) y = y + 1 ; } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n

验证条件生成 n  0 function mult(m, n){ ( n  0 )  ((0 = m0)  (0  n)) (0 = m0)  (0  n) x = 0 ; (x = m0)  (0  n) y = 0 ; ((x = my)  (y  n))  (y < n)  (x+m = m(y+1))  ((y+1)  n) while y < n do { (x = my)  (y  n) (x+m = m(y+1))  ((y+1)  n) x = x + m ; (x = m(y+1))  ((y+1)  n) y = y + 1 ; } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n 第3个验证条件

验证条件生成 n  0 function mult(m, n){ ( n  0 )  ((0 = m0)  (0  n)) x = 0 ; y = 0 ; ((x = my)  (y  n))  (y < n)  (x+m = m(y+1))  ((y+1)  n) while y < n do { (x = my)  (y  n) x = x + m ; y = y + 1 ; } ((x = my)  (y  n))  (y < n)  (x = mn) } x = m  n 这三个验证条件需要证明