Korrekte Software: Grundlagen und Methoden Vorlesung 7 vom 18.05.17: Vorwärts und Rückwärts mit Floyd und

(1)

Korrekte Software: Grundlagen und Methoden Vorlesung 7 vom 18.05.17: Vorwärts und Rückwärts mit Floyd und

Hoare

Serge Autexier, Christoph Lüth Universität Bremen Sommersemester 2017

09:07:01 2017-06-28 1 [18]

Fahrplan

I Einführung

I Die Floyd-Hoare-Logik I Operationale Semantik I Denotationale Semantik

I Äquivalenz der Operationalen und Denotationalen Semantik I Korrektheit des Hoare-Kalküls

I Vorwärts und Rückwärts mit Floyd und Hoare I Funktionen und Prozeduren

I Referenzen und Speichermodelle I Verifikationsbedingungen Revisited I Vorwärtsrechnung Revisited

I Programmsicherheit und Frame Conditions I Ausblick und Rückblick

Korrekte Software 2 [18]

Vorwärts oder Rückwärts?

Idee

I Hier ist ein einfaches Programm:

//{X=x∧Y=y}

z = y ;

//{X=x∧Y=z}

y = x ;

//{X=y∧Y=z}

x = z ;

//{X=y∧Y=x}

I Wir sehen:

1.Die Verifikation erfolgtrückwärts(von hinten nach vorne).

2.Die Verifikation kannberechnetwerden.

I Muss das so sein? Ist das immer so?

Rückwärtsanwendung der Regeln

I Zuweisungsregel kannrückwärtsangewandt werden, weil die Nachbedingung eine offene Variable ist —Ppasst auf jede beliebige Nachbedingung.

` {P[e/x]}x=e{P}

I Was ist mit den anderen Regeln? Nurwhilemacht Probleme!

` {A} { } {A}

` {A∧b}c0{B} ` {A∧ ¬b}c1{B}

` {A}if(b)c0 else c1{B}

` {A}c{B} ` {B} {cs} {C}

` {A} {c c_s} {C}

` {A∧b}c{A}

` {A}while(b)c{A∧ ¬b}

A⁰=⇒A ` {A}c{B} B=⇒B⁰

` {A⁰}c{B⁰}

Vorwärts?

I Alternative Zuweisungsregel (nach Floyd):

V 6∈FV(P)

` {P}x=e{∃V.x=e[V/x]∧P[V/x]}

IFV(P) sind diefreienVariablen inP.

I Jetzt ist die Vorbedingung offen — Regel kann vorwärts angewandt werden

I Gilt auch für die anderen Regeln

Vorwärtsverkettung

V6∈FV(P)

` {P}x=e{∃V.x=e[V/x]∧P[V/x]}

I Ein einfaches Beispiel (nach Mike Gordon):

//{x= 1}

x= x +1;

//{∃V.x=x+ 1[V/x]∧(x= 1)[V/x]}

I Vereinfachungder Nachbedingung:

∃V.x= (x+ 1)[V/x]∧(x= 1)[V/x]

⇐⇒ ∃V.x= (V+ 1)∧(V= 1)

⇐⇒x= 1 + 1

⇐⇒x= 2

Vorwärtsverkettung

I Vorwärtsaxiom äquivalent zum Rückwärtsaxiom.

I In der Anwendungumständlicher.

I Vereinfachung benötigt Lemma:∃x.P(x)∧x=t⇐⇒P(t) I Vorteile?

IWir wollten doch sowieso die Anwendung automatisieren. . .

IWir stellen die Frage erstmal zurück

Zwischenfazit: Der Floyd-Hoare-Kalkül istsymmetrisch

Es gibt zwei Zuweisungsregeln, eine für dieRückwärtsanwendungvon Regeln, eine für dieVorwärtsanwendung

(2)

Schwächste Vorbedingungen

Berechnung von Vorbedingungen

I Die Rückwärtsrechnung von einer gegebenen Nachbedingung entspricht der Berechnung einer Vorbedingung

I Gegeben C0-Programmc, PrädikatP, dann ist

Iwp(c,P) dieschwächste VorbedingungQso dass|={Q}c{P};

Isp(P,c) diestärkste NachbedingungQso dass|={P}c{Q}

I PrädikatPschwächeralsQwennQ=⇒P(stärkerwennP=⇒Q).

I Semantische Charakterisierung:

|={P}c{Q} ⇐⇒ P=⇒wp(c,Q)

|={P}c{Q} ⇐⇒ sp(P,c) =⇒Q

Berechnung von wp(c, Q )

I Einfach für Programme ohne Schleifen:

wp({ },P) ^def= P wp(x=e,P) ^def= P[e/x]

wp({c cs},P) ^def= wp(c,wp({cs},P))

wp(if(b)c0 elsec1,P) ^def= (b∧wp(c0,P))∨(¬b∧wp(c1,P))

I Für Schleifen: nicht entscheidbar.

I “Cannot in general compute afiniteformula” (Gordon) I Wir können rekursive Formulierung angeben:

wp(while(b){c},P)^def= (¬b∧P)∨(b∧wp(c,wp(while(b){c},P)))

I Hilft auch nicht weiter. . .

Lösung: Annotierte Programme

I Wir helfen dem Rechner weiter undannotierendie Schleifeninvariante am Programm.

I Damit berechnen wir:

Idieapproximativeschwächste Vorbedingung awp(c,Q) zusammen mit einer Menge vonVerifikationsbedingungenwvc(c,Q)

Ioder dieapproximativestärkste Nachbedingung asp(P,c) zusammen mit einer Menge vonVerifikationsbedingungensvc(P,c)

I Die Verifikationsbedingungen treten dort auf, wo die Weakening-Regel angewandt werden muss.

I Es gilt:

Vwvc(c,Q) =⇒ |={awp(c,Q)}c{Q}

Vsvc(P,c) =⇒ |={P}c{asp(P,c)}

Approximative schwächste Vorbedingung

I Für diewhile-Schleife:

awp(while(b)/∗∗inv i∗/c,P) ^def= i wvc(while(b)/∗∗inv i∗/c,P) ^def= wvc(c,i)

∪ {i∧b=⇒awp(c,i)}

∪ {i∧ ¬b=⇒P}

I Entspricht derwhile-Regel (1) mit Weakening (2):

` {A∧b}c{A}

` {A}while(b)c{A∧ ¬b} (1) A∧b=⇒C ` {C}c{A} A∧ ¬b=⇒B

` {A}while(b)c{B} (2)

Überblick: Approximative schwächste Vorbedingung

awp({ },P) =^def P awp(x=e,P) =^def P[e/x]

awp({c c_s},P) =^def awp(c,awp({c_s},P))

awp(if(b)c0 elsec1,P) =^def (b∧awp(c0,P))∨(¬b∧awp(c1,P)) awp(/∗∗{q}∗/,P) =^def q

awp(while(b)/∗∗inv i∗/c,P) =^def i wvc({ },P) =^def ∅ wvc(x=e,P) =^def ∅

wvc({c c_s},P) =^def wvc(c,awp({c_s},P))∪wvc({c_s},P) wvc(if(b)c0 elsec1,P) =^def wvc(c0,P)∪wvc(c1,P)

wvc(/∗∗{q}∗/,P) =^def {q=⇒P}

wvc(while(b)/∗∗inv i∗/c,P) =^def wvc(c,i)∪ {i∧b=⇒awp(c,i)}

∪ {i∧ ¬b=⇒P}

Alternative Schreibweise: AWP

P←awp{ },P P[e/x]←awpx=e,P Pc←awpc,Pcs Pcs←awp{cs},P

Pc←awp{c cs},P Pc0←awpc0,P Pc1←awpc1,P (b∧Pc0)∨(¬b∧Pc1)←_awpif(b)c0 elsec1,P

i←_awpwhile(b)/** invi*/c,P

Alternative Schreibweise: WVC

{ },P→_wvc∅ x=e,P→_wvc∅ Pcs←awpcs,P c,Pcs→wvcVCc {cs},P→wvcVCcs

{c cs},P→wvcVCc∪VCcs

c0,P→_wvcVCc0 c1,P→_wvcVCc1

if(b)c0 elsec1,P→wvcVCc0∪VCc1

/**{q}*/,P→wvc{q=⇒P}

c,i→wvcVCc Pc←awpc,i

while(b)/** inv i*/c,P→wvcVCc∪ {i∧b=⇒Pc,i∧ ¬b=⇒P}

(3)

Beispiel: das Fakultätsprogramm

I In der Praxis sind Vor- und Nachbedingung gegeben, und nur die Verifikationsbedingungen relevant.

I SeiF das annotierte Fakultätsprogramm:

i n t c , n , p ; /∗ ∗ { 0 <= n } ∗/

p= 1 ; c= 1 ;

w h i l e ( c <= n ) /∗ ∗ i n v p == f a c ( c−1) && c−1 <= n ; ∗/ { p = p ∗ c ;

c = c + 1 ; }

/∗ ∗ { p == f a c ( n ) } ∗/

I Berechnung der Verifikationsbedingungen zur Nachbedingung:

wvc(F,p==fac(N))

Zusammenfassung

I Die Regeln des Floyd-Hoare-Kalküls sindsymmetrisch: Die Zuweisungsregel gibt es“rückwärts” und “vorwärts”.

I Bis auf die Invarianten an Schleifen können wir Korrektheit automatisch prüfen.

I Wirannotierendaher die Invarianten an Schleifen, und können dann die schwächste Vorbedingung und Verifikationsbedingungen automatisch berechnen.

IDavon sind dieVerifikationsbedingungendas interessante.

I Die Generierung von Verifikationsbedingungen korrespondiert zur relativen Vollständigkeit der Floyd-Hoare-Logik.