Operationale vs. denotationale Semantik

(1)

Korrekte Software: Grundlagen und Methoden Vorlesung 4 vom 12/14.05.20

Äquivalenz der Operationalen und Denotationalen Semantik

Serge Autexier, Christoph Lüth Universität Bremen Sommersemester 2020

13:55:46 2020-07-14 1 [53]

Fahrplan

IEinführung

IOperationale Semantik IDenotationale Semantik

IÄquivalenz der Operationalen und Denotationalen Semantik IDer Floyd-Hoare-Kalkül

IInvarianten und die Korrektheit des Floyd-Hoare-Kalküls IStrukturierte Datentypen

IVerifikationsbedingungen IVorwärts mit Floyd und Hoare IModellierung

ISpezifikation von Funktionen IReferenzen und Speichermodelle IAusblick und Rückblick

Korrekte Software 2 [53]

Operationale vs. denotationale Semantik

Operationalha, σi →Aexpn Denotational[[a]]_A m∈Z hm, σi →Aexpm {(σ,m)|σ∈Σ}

x∈Loc x∈Dom(σ)

hx, σi →_Aexpσ(x) {(σ, σ(x))|σ∈Σ,x∈ Dom(σ)}

x6∈Dom(σ) hx, σi →_Aexp⊥

a1◦a2

ha1, σi →Aexpn ha2, σi →Aexpm n,m6=⊥

ha₁◦a2, σi →_Aexpn◦^Im {(σ,n◦^Im)|σ∈Σ,(σ,n)∈ [[a1]]A,(σ,m)∈[[a2]]A} ha1, σi →Aexpn

ha2, σi →Aexpm n=⊥oderm=⊥ ha1◦a2, σi →Aexp⊥

◦ ∈ {+,∗,−}

Operationale vs. denotationale Semantik

Operationalha, σi →_Aexpn Denotational[[a]]A

a1/a2

ha1, σi →Aexpn ha2, σi →Aexpm m6= 0 m,n6=⊥

ha₁◦a2, σi →_Aexpn◦^Im {(σ,n/m)|σ∈Σ,(σ,n)∈ [[a1]]A,(σ,m)∈[[a2]]A,m6=

0}

ha₁, σi →_Aexpn ha2, σi →Aexpm n=⊥,m=⊥oderm= 0

ha1/a2, σi →Aexp⊥

Äquivalenz operationale und denotationale Semantik

IFür allea∈Aexp, für allen∈Z, für alle Zuständeσ:

ha, σi →Aexpn⇔(σ,n)∈[[a]]A ha, σi →Aexp⊥ ⇔σ6∈Dom([[a]]_A)

IBeweis Prinzip?

Induktionsprinzip

Noether’sche Induktion

Seieinewohlfundierte OrdnungüberSundPeine Aussage über Elemente vonS. Dann gilt

∀v∈S.(∀u∈S.vu∧P(u))⇒P(v)

∀x∈S.P(x)

IEine binäre Relation⊆S×Sist eine Ordnung wenn gilt

∀x∈S.xx (irreflexiv)

∀x,y∈S.xy⇒yx (assymetrisch)

∀x,y,z∈S.(xy∧yz)⇒xz (transitiv) IEine Ordnung≺ist wohlfundiert, wenn es keine unendlich

absteigendenKetten gibt

a1a2a3. . .

S

Mathematische Induktion N n→n+ 1

Strukturelle InduktionAexp Aexp aa⁰genau dann, wenn a⁰ist Teilausdruck vona

Arbeitsblatt 4.1: Übung zu struktureller Ordnung

Die strukturelle Ordnung auf arithmetischen Ausdrücken ist definiert als:

∀a,a⁰∈AExp.aa⁰⇔a⁰ist Teilausdruck vona Dabei ist “Teilausdruck” formalisiert als◦ ∈ {+,∗,−, /}:

aTeilausdruck-von(a1◦a2)⇔ a=a1∨aTeilausdruck-vona1∨ a=a2∨aTeilausdruck-vona2

!

IArgumentiert/beweist, dass die Relation “Teilausdruck-von”

4.1.1irreflexiv 4.2.2assymmetrisch und 4.3.3transitiv

ist.

Besprechung

Argumentiert/beweist, die Relation “Teilausdruck-von” ist 1 irreflexiv Für Variablen und Zahlen gilt es nicht.

(a1◦a2) Teilausdruck-von(a1◦a2)

⇔(a1◦a2) =a1∨(a1◦a2) Teilausdruck-vona1 Widerspruch

2 assymmetrisch

(a1◦a2) Teilausdruck-von(a⁰₁◦a⁰₂)

∧(a⁰₁◦a⁰₂) Teilausdruck-von(a1◦a2)

⇔[(a1◦a2) Teilausdruck-vona₁⁰

∨(a1◦a2) Teilausdruck-vona⁰₂]

∧[(a⁰1◦a⁰2) Teilausdruck-vona1

∨(a⁰₁◦a₂⁰) Teilausdruck-vona2]

(2)

Besprechung

Argumentiert/beweist, die Relation “Teilausdruck-von” ist 3 transitiv

aTeilausdruck-von(a1◦a2)∧(a1◦a2) Teilausdruck-von(a⁰₁◦a₂⁰)

⇔

1. Fall:a=a1∨aTeilausdruck-vona1⇒aTeilausdruck-von(a⁰₁◦a⁰₂) 2. Fall:a=a2∨aTeilausdruck-vona2⇒aTeilausdruck-von(a⁰1◦a⁰2)

Äquivalenz operationale und denotationale Semantik

IFür allea∈Aexp, für allen∈Z, für alle Zuständeσ:

ha, σi →Aexpn⇔(σ,n)∈[[a]]A ha, σi →Aexp⊥ ⇔σ6∈Dom([[a]]A)

IBeweis Prinzip?per struktureller Induktion übera. (Warum?)

Beweis ∀a∈Aexp.∀n∈Z.∀σ. ha, σi →Aexpn⇔(σ,n)∈[[a]]A

∧ ha, σi →Aexp⊥ ⇔σ6∈Dom([[a]]A) Induktionsanfänge

Ia≡m∈Z:

hm, σi →_Aexpm

[[m]]_A={(σ⁰,m)|σ⁰∈Σ} ⇒(σ,m)∈[[m]]_A

#

⇔

Ia≡X∈Loc:

1 X∈Dom(σ):

hX, σi →_Aexpσ(X)

[[X]]A={(σ⁰, σ⁰(X))|σ⁰∈Σ,X∈Dom(σ)} ⇒(σ, σ(X))∈[[X]]A

⇔

2 X6∈Dom(σ):

hX, σi →Aexp⊥

[[X]]A={(σ⁰, σ⁰(X))|σ⁰∈Σ,X∈Dom(σ)} ⇒σ6∈Dom([[X]]A)

⇔

∧ ha, σi →Aexp⊥ ⇔σ6∈Dom([[a]]A) Induktionsschritte

Ia≡a1+a2:

1 Fall:m6=⊥undn6=⊥ Es gilt

[[a1+a2]]A={(σ⁰,u+v)|(σ⁰,u)∈[[a1]]Aund (σ⁰,v)∈[[a2]]A} Induktionsannahme gilt füra1unda2.

ha1+a2, σi →KS Aexpm+n

(Def.h.,.i→Aexp.)

ha1, σi →Aexpm

&

ks ^{IA fuer}^a¹ +3(σ,m)∈[[a1]]A

&

ha₂, σi →_Aexpnks ^{IA fuer}^a² +3(σ,n)∈KS [[a2]]A (Def.[[.]]A)

(σ,m+n)∈[[a1+a2]]A

∧ ha, σi →Aexp⊥ ⇔σ6∈Dom([[a]]A)

Induktionsschritte

Ia≡a1+a2: Induktionsannahme gilt füra1unda2. 2 Fall:m=⊥odern=⊥

ha1, σi →Aexpn ha2, σi →Aexpm m=⊥odern=⊥ ha1+a2, σi →Aexp⊥

I Falln=⊥.

Aus Induktionsannahme folgt, dassha1, σi →Aexp⊥ ⇔σ6∈Dom([[a1]]A).

Weiterhin gilt

[[a1+a2]]A={(σ⁰,u+v)|(σ⁰,u)∈[[a1]]Aund (σ⁰,v)∈[[a2]]A} Somit giltσ6∈Dom([[a1+a2]]A).

I Falln6=⊥,m=⊥: analog.

∧ ha, σi →Aexp⊥ ⇔σ6∈Dom([[a]]A) Induktionsschritte

Ia≡a1/a2:

1 Fall:m6=⊥undn6=⊥,n6= 0 Es gilt

[[a1/a2]]A={(σ⁰,u/v)|(σ⁰,u)∈[[a1]]A,(σ⁰,v)∈[[a2]]Aundv6= 0}

Induktionsannahme gilt füra1unda2. ha1/a2, σi →KS Aexpm/n

(Def.h.,.i→Aexp.)

ha1, σi →Aexpm

&

ha2, σi →Aexpnks ^{IA fuer}^a² +3(σ,n)∈KS [[a2]]A (Def.[[.]]A)

(σ,m+n)∈[[a1/a2]]A

Beweis ∀a∈Aexp.∀n∈Z.∀σ. ha, σi →Aexpn⇔(σ,n)∈[[a]]_A

∧ ha, σi →Aexp⊥ ⇔σ6∈Dom([[a]]_A)

Induktionsschritte

Ia≡a1/a2: Induktionsannahme gilt füra1unda2. 2 Fall:

ha1, σi →Aexpm ha2, σi →Aexpn m=⊥,n= 0 odern=⊥ ha1/a2, σi →Aexp⊥

I Falln= 0.

Aus Induktionsannahme folgt, dassha2, σi →Aexp0⇔(σ,0)∈[[a2]]A. Weiterhin gilt

[[a1/a2]]A={(σ⁰,u/v)|(σ⁰,u)∈[[a1]]A,(σ⁰,v)∈[[a2]]Aundv6= 0}

Somit giltσ6∈Dom([[a1/a2]]A).

I Falln=⊥,m=⊥: analog wie bei +

q.e.d.

Operationale vs. denotationale Semantik

Operational hb, σi →Bexpfalse|true| ⊥

Denotational[[b]]B

1 h1, σi →Bexptrue {(σ,true)|σ∈Σ}

0 h0, σi →_Bexpfalse {(σ,false)|σ∈Σ}

(3)

Operationale vs. denotationale Semantik

Operat.hb, σi →Bexpt Denotational[[b]]_B

a0==a1

ha0, σi →Aexpn ha1, σi →_Aexpm n,m6=⊥ n=m ha0==a1, σi →_Bexptrue

ha0, σi →Aexpn ha₁, σi →_Aexpm n,m6=⊥ n6=m ha₀==a1, σi →_Bexpfalse

ha0, σi →Aexpn ha1, σi →Aexpm n=⊥oderm=⊥ ha0==a1, σi →Bexp⊥

{(σ,true)|σ∈Σ, (σ,n0)∈[[a0]]A, (σ,n1)∈[[a1]]A, n0=n1}

∪

{(σ,false)|σ∈Σ, (σ,n0)∈[[a0]]_A, (σ,n1)∈[[a1]]A, n06=n1}

a1<a2 analog

Operationale vs. denotationale Semantik

Operationalha, σi →_Bexpb Denotational[[b]]B b1&&b0

hb₁, σi →_Bexpfalse

hb1&&b2, σi →false {(σ,false)|(σ,false)∈ [[b1]]B} hb1, σi →Bexptrue

hb₂, σi →_Bexpb

hb1&&b2, σi →b {(σ,b)|(σ,true)∈ [[b1]]B,(σ,b)∈[[b2]]B} hb₁, σi →_Bexp⊥

hb1&&b2, σi → ⊥

b1||b2 analog

!n . . .

Äquivalenz operationale und denotationale Semantik

IFür alleb∈Bexp, für allet∈B, for alle Zuständeσ:

hb, σi →_Bexpt⇔(σ,t)∈[[b]]B hb, σi →_Bexp⊥ ⇔σ6∈Dom([[b]]B)

IBeweis Prinzip?per struktureller Induktion überb(unter Verwendung der Äquivalenz für AExp). (Warum?)

Beweis ∀a∈Bexp.∀n∈Z.∀σ. hb, σi →Bexpt⇔(σ,t)∈[[b]]B

∧ hb, σi →Bexp⊥ ⇔σ6∈Dom([[b]]B)

Induktionsanfänge Ib≡0:

h0, σi →_Bexpfalse

[[0]]A={(σ⁰,false)|σ⁰∈Σ} ⇒(σ,false)∈[[b]]B

#

⇔

Ib≡1:

h1, σi →Bexptrue

[[1]]A={(σ⁰,true)|σ⁰∈Σ} ⇒(σ,true)∈[[b]]B

#

⇔

∧ hb, σi →Bexp⊥ ⇔σ6∈Dom([[b]]B) Induktionsschritte

Ib≡b1&&b2: Es gilt

[[b1&&b2]]_B={(σ⁰,false)|(σ⁰,false)∈[[b1]]_B}

∪ {(σ⁰,t2)|(σ⁰,true)∈[[b1]]Bund (σ⁰,t2)∈[[b2]]B} Induktionsannahme gilt fürb1undb2.

IFallhb1, σi →Bexp⊥ hb1&&b2, σi →Bexp⊥

KS

(Def.h.,.i→Bexp.)

hb1, σi →Bexp⊥ks^{IA fuer}^b¹+3σ6∈Dom([[b1]]B)

Def. [[.]]B

σ6∈[[b1&&b2]]B

Ib≡b1&&b2: Es gilt

[[b1&&b2]]B={(σ⁰,false)|(σ⁰,false)∈[[b1]]B}

∪ {(σ⁰,t2)|(σ⁰,true)∈[[b1]]Bund (σ⁰,t2)∈[[b2]]B} Induktionsannahme gilt fürb1undb2.

IFallhb1, σi →Bexpfalse hb1&&b2, σi →KS Bexpfalse

hb1, σi →Bexpfalseks ^{IA fuer}^b¹ +3(σ,false)∈[[b1]]B Def. [[.]]B

(σ,false)∈[[b1&&b2]]_B

Beweis ∀a∈Bexp.∀n∈Z.∀σ. hb, σi →Bexpt⇔(σ,t)∈[[b]]_B

∧ hb, σi →Bexp⊥ ⇔σ6∈Dom([[b]]_B) Induktionsschritte

Ib≡b1&&b2:

∪ {(σ⁰,t2)|(σ⁰,true)∈[[b1]]_Bund (σ⁰,t2)∈[[b2]]_B} Induktionsannahme gilt fürb1undb2.

IFallhb1, σi →Bexptrue,hb2, σi →Bexpfalse hb1&&b2, σi →KS Bexpfalse

hb₁, σi →_Bexptrue

&

ks ^{IA fuer}^b¹ +3(σ,true)∈[[b1]]B

&

hb2, σi →Bexpfalseks ^{IA fuer}^b² +3(σ,false)∈[[b2]]_B

Def. [[.]]B

(σ,false)∈[[b1&&b2]]B

Beweis ∀a∈Bexp.∀n∈Z.∀σ. hb, σi →Bexpt⇔(σ,t)∈[[b]]_B

∧ hb, σi →Bexp⊥ ⇔σ6∈Dom([[b]]_B) Induktionsschritte

Ib≡b1&&b2:

IFallhb₁, σi →_Bexptrue,hb₂, σi →_Bexptrue hb1&&b2, σi →KS Bexptrue

hb₁, σi →_Bexptrue

&

ks ^{IA fuer}^b¹ +3(σ,true)∈[[b1]]B

&

hb2, σi →Bexptrueks ^{IA fuer}^b² +3(σ,true)KS∈[[b2]]_B

Def. [[.]]B

(σ,true)∈[[b1&&b2]]B

(4)

Ib≡b1&&b2:

IFallhb1, σi →Bexptrue,hb2, σi →Bexp⊥ hb1&&b2, σi →Bexp⊥

KS

hb1, σi →Bexptrue

&

ks^{IA fuer}^b¹ +3(σ,true)∈[[b1]]B

&

hb2, σi →Bexp⊥ks ^{IA fuer}^b² +3σ6∈Dom([[b2]]B)

Def. [[.]]B

σ6∈Dom([[b1&&b2]]_B)

∧ hb, σi →Bexp⊥ ⇔σ6∈Dom([[b]]B)

I (σ,true)∈[[b1&&b2]]_B^{Def. [[.]]}ks +3^B(σ,true)∈[[b1]]_Bund (σ,true)∈[[b2]]_B ISiehe Folie 24

I

(σ,false)∈[[b1&&b2]]_B^{Def. [[.]]}ks ^B+3 (σ,false)∈[[b1]]_Boder

(σ,true)∈[[b1]]Bund (σ,false)∈[[b2]]B ISiehe Folie 22 und 23

I σ6∈Dom([[b1&&b2]]_B)^{Def. [[.]]}ks +3^Bσ6∈Dom([[b1]]_B) oderσ6∈Dom([[b2]]_B) ISiehe Folie 21 und 25

Somit gilt dann auch⇔ q.e.d.

Arbeitsblatt 4.2:

Beweis Induktionsanfang 1. ha1==a2, σi →Bexpfalse⇔(σ,false)∈[[a1==a2]]B

2. ha1==a2, σi →Bexptrue⇔(σ,true)∈[[a1==a2]]B

3. ha₁==a2, σi →_Bexp⊥ ⇔σ6∈Dom([[a1==a2]]B)

Beweist obige drei Aussagen unter Verwendung des für arithmetische Ausdrücke geltenden Lemmas

∀a∈Aexp.∀n∈Z.∀σ. ha, σi →Aexpn⇔(σ,n)∈[[a]]A

∧ hb, σi →Bexp⊥ ⇔σ6∈Dom([[a]]_A)

Beweis 1. ha1==a2, σi →Bexpfalse⇔(σ,false)∈[[a1==a2]]B

3. ha1==a2, σi →Bexp⊥ ⇔σ6∈Dom([[a1==a2]]B)

[[a1==a2]]_B={(σ⁰,true)|(σ⁰,m)∈[[a1]]_A,(σ⁰,n)∈[[a2]]_A,m=n}

∪ {(σ⁰,false)|(σ⁰,m)∈[[a1]]A,(σ⁰,n)∈[[a2]]A,m6=n}

IFallha1, σi →Bexpm,hb2, σi →Bexpn,m=n ha1==a2, σi →Bexptrue

KS

(Def.h.,.i→Bexp.) ha₁, σi →_Bexpm

&

ha2, σi →Bexpmks ^{IA fuer}^a² +3(σ,m)∈KS [[a1]]A Def. [[.]]B

(σ,true)[[a1==a2]]B

[[a1==a2]]B={(σ⁰,true)|(σ⁰,m)∈[[a1]]A,(σ⁰,n)∈[[a2]]A,m=n}

IFallha1, σi →Bexpm,hb2, σi →Bexpn,m6=n ha₁==a2, σi →_Bexpfalse

KS

(Def.h.,.i→Bexp.) ha1, σi →_Aexpm

&

ks^{Lemma fuer}^a¹ +3(σ,m)∈[[a1]]A

&

ha2, σi →Aexpnks^{Lemma fuer}^a² +3(σ,n)∈KS [[a2]]_A Def. [[.]]_B

(σ,false)[[a1==a2]]B

[[a1==a2]]B={(σ⁰,true)|(σ⁰,m)∈[[a1]]A,(σ⁰,n)∈[[a1]]A,m=n}

IFallha1, σi →Bexp⊥:

ha₁==a2, σi →_Bexp⊥

KS

(Def.h.,.i→Bexp.) ha1, σi →_Aexp⊥

&

ks^{Lemma fuer}^a+3σ6∈Dom([[a1]]A) Def. [[.]]B

σ6∈Dom([[a1==a2]]B) IFallha₂, σi →_Bexp⊥:

ha1==a2, σi →Bexp⊥

KS

ha2, σi →Aexp⊥

&

ks^{Lemma fuer}^a+3σ6∈Dom([[a2]]_A) Def. [[.]]_B

σ6∈Dom([[a1==a2]]B) I σ6∈Dom([[a1==a2]]B)^{Def. [[.]]}ks ^B+3 σ6∈Dom([[a1]]A) oderσ6∈

Dom([[a2]]_A)

ISiehe die beiden Fälle auf den beiden vorangegangenen Folien.

Operationale vs. denotationale Semantik

Operationalhc, σi →Stmtσ⁰|⊥ Denotational[[c]]C { } h{}, σi →_Stmtσ [[{ }]]_C=Id

c1;c2

hc1, σi →Stmtσ⁰6=⊥ hc2, σ⁰i →_Stmtσ⁰⁰ hc1;c2, σi →Stmtσ⁰⁰

hc1, σi →_Stmt⊥ hc1;c2, σi →Stmt⊥

[[c1]]C◦[[c2]]C

x=a ha, σi →_Aexpn hx=a, σi →_Stmtσ[n/x]

ha, σi →_Aexp⊥ hx=a, σi →_Stmt⊥

{(σ, σ[n/x])|(σ,n)∈[[a]]A}

Operationale vs. denotationale Semantik

Operational hc, σi →Stmtσ⁰|⊥

Denotational[[c]]C

if(b)c0

hb, σi →_Bexp⊥ hc, σi →Stmt⊥ hb, σi →Bexptrue

hc0, σi →_Stmtσ⁰ hc, σi →Stmtσ⁰

{(σ, σ⁰)|(σ,true)∈ [[b]]_B,(σ, σ⁰)∈[[c0]]_C}

elsec1

hb, σi →_Bexpfalse hc1, σi →Stmtσ⁰

hc, σi →_Stmtσ⁰ {(σ, σ⁰)|(σ,false)∈ [[b]]_B,(σ, σ⁰)∈[[c1]]_C}

(5)

Operationale vs. denotationale Semantik

Operational hc, σi →_Stmtσ⁰| ⊥

Denotational[[c]]_C

while(b)c

| {z } w

hb, σi →Bexpfalse hw, σi →_Stmtσ

hb, σi →Bexp⊥ hw, σi →_Stmt⊥

hb, σi →Bexptrue hc, σi →Stmtσ⁰6=⊥ hw, σ⁰i →Stmtσ⁰⁰ hw, σi →Stmtσ⁰⁰

fix(Γ)

hb, σi →_Bexptrue hc, σi →_Stmt⊥ hw, σi →Stmt⊥ mit

Γ(ϕ) = {(σ, σ⁰)|(σ,true)∈[[b]]_B,(σ, σ⁰)∈[[c]]_C◦ϕ}

∪{(σ, σ)|(σ,false)∈[[b]]B}

Äquivalenz operationale und denotationale Semantik

IFür allec∈Stmt, für alle Zuständeσ, σ⁰: hc, σi →_Stmtσ⁰⇔(σ, σ⁰)∈[[c]]C hc, σi →Stmt⊥ ⇒σ6∈Dom([[c]]C)

I⇒Beweis Prinzip?

I⇐Beweis Prinzip?

Operationale Semantik: C0 Programme

IStmtc::=Idt=Exp|if(b)c1 else c2|while(b)c|c1;c2| { } Regeln:

h{ }, σi →Stmtσ ha, σi →_Aexpn∈Z

hx=a, σi →Stmtσ[n/x]

ha, σi →_Aexp⊥ hx=a, σi →Stmt⊥ hc1, σi →Stmtσ⁰6=⊥ hc2, σ⁰i →Stmtσ⁰⁰6=⊥

hc1;c2, σi →_Stmtσ⁰⁰ hc1, σi →Stmt⊥ hc₁;c2, σi →_Stmt⊥

hc1, σi →Stmtσ⁰6=⊥ hc2, σ⁰i →Stmt⊥ hc₁;c2, σi →_Stmt⊥

Operationale Semantik: C0 Programme

IStmtc::=Idt=Exp|if(b)c1 elsec2|while(b)c|c1;c2| { } Regeln:

hb, σi →Bexptrue hc1, σi →Stmtσ⁰ hif(b)c1 elsec2, σi →_Stmtσ⁰ hb, σi →Bexpfalse hc2, σi →Stmtσ⁰

hif(b)c1 elsec2, σi →_Stmtσ⁰ hb, σi →_Bexp⊥ hif(b)c1 elsec2, σi →_Stmt⊥

Operationale Semantik: C0 Programme

hb, σi →_Bexpfalse hwhile(b)c, σi →Stmtσ

hb, σi →Bexptrue hc, σi →Stmtσ⁰ hwhile(b)c, σ⁰i →Stmtσ⁰⁰ hwhile(b)c, σi →Stmtσ⁰⁰

hb, σi →Bexptrue hc, σi →Stmt⊥ hwhile(b)c, σi →_Stmt⊥

hb, σi →Bexp⊥ hwhile(b)c, σi →_Stmt⊥

Ableitungstiefe für Programme

IDie Ableitungstiefe einer Programmauswertung mittels Regeln der operationaler Semantik ist dieAnzahl der Regelanwendungenmit Conclusion der Form h., .i →Stmt..

...

Prämisse1 . . . ... Prämissen Conclusion

Operationale Semantik: C0 Programme

hc1, σi →Stmtσ⁰6=⊥ hc2, σ⁰i →Stmtσ⁰⁰6=⊥ hc1;c2, σi →Stmtσ⁰⁰

hb, σi →Bexptrue hc1, σi →Stmtσ⁰ hif(b)c1elsec2, σi →Stmtσ⁰

hb, σi →Bexpfalse hc2, σi →Stmtσ⁰ hif(b)c1elsec2, σi →Stmtσ⁰

hb, σi →Bexptrue hc, σi →Stmtσ⁰ hwhile(b)c, σ⁰i →Stmtσ⁰⁰

hwhile(b)c, σi →Stmtσ⁰⁰

hb, σi →Bexptrue hc, σi →Stmt⊥ hwhile(b)c, σi →Stmt⊥

Programmstruktur

&

→

&

Ableitungstiefe

&

Äquivalenz operationale und denotationale Semantik

IFür allec∈Stmt, für alle Zuständeσ, σ⁰: hc, σi →Stmtσ⁰⇔(σ, σ⁰)∈[[c]]_C hc, σi →Stmt⊥ ⇒σ6∈Dom([[c]]_C)

I⇒Beweis Prinzip?per Induktion überdie (Tiefe der) Ableitungin der operationalen Semantik (Warum?)

I⇐Beweis Prinzip?

(6)

Beweis∀c∈Stmt.∀σ, σ⁰.1. hc, σi →Stmtσ⁰⇒(σ, σ⁰)∈[[c]]C

2. hc, σi →Stmt⊥ ⇒σ6∈Dom([[c]]C) Induktionsanfang – Ableitungstiefe 1

IFallc≡x=a:

[[x=a]]C={(σ, σ[m/x])|(σ,m)∈[[a]]A} IFallha, σi →Aexpm∈Z

hx=a, σi →KSStmtσ[m/x]

(Def.h.,.i→Stmt.)

ha, σi →_Aexpm∈Zks^{Lemma fuer}^a +3(σ,m)∈[[a]]A

Def. [[.]]_C

(σ, σ[m/x])∈[[x=a]]C

IFallha, σi →Aexp⊥:

hx=a, σi →KS Stmt⊥

ha, σi →Aexp⊥ks^{Lemma fuer}^a+3σ6∈Dom([[a]]_A)

Def. [[.]]C

σ6∈Dom([[x=a]]C) IFallc≡ {}: . . .

2. hc, σi →Stmt⊥ ⇒σ6∈Dom([[c]]C) Induktionsschritt:

IFallc≡if(b)c1elsec2:

[[if(b)c1elsec2]]C={(σ, σ⁰)|(σ, σ⁰)∈[[c1]]C,(σ,true)∈[[b]]B}

∪ {(σ, σ⁰)|(σ, σ⁰)∈[[c2]]_C,(σ,false)∈[[b]]_B} IFallhσ,bi →Bexptrue,hc1, σi →Stmtσ⁰:

hif(b)c1elsec2KS, σi →Stmtσ⁰

hb, σi →Bexptrue

&

ks ^{Lemma fuer}^b +3(σ,true)∈[[b]]B

&

hc1, σi →Stmtσ⁰ks ^{IH fuer}^c¹ +3(σ, σ⁰)∈[[c1]]C Def. [[.]]C

(σ, σ⁰)∈[[if(b)c1elsec2]]C

IFallhσ,bi →Bexpfalse,hc2, σi →Stmtσ⁰: hif(b)c1elsec2KS, σi →Stmtσ⁰

hb, σi →Bexpfalse

&

ks ^{Lemma fuer}^b +3(σ,false)∈[[b]]B

&

hc2, σi →Stmtσ⁰ks ^{IH fuer}^c² +3(σ, σ⁰)∈[[c2]]_C

Def. [[.]]C

(σ, σ⁰)∈[[if(b)c1elsec2]]_C IFallhσ,bi →Bexptrue,hc1, σi →Stmt⊥:

hif(b)c1elsec2KS, σi →Stmt⊥

&

hc1, σi →Stmt⊥ks ^{IH fuer}^c¹ +3σ6∈Dom([[c1]]C)

Def. [[.]]C

σ6∈Dom([[if(b)c1elsec2]]C) IFallhσ,bi →Bexp⊥:

hif(b)c1elsec2, σi →Stmt⊥

KS

hb, σi →Bexp⊥ks ^{Lemma fuer}^b +3σ6∈Dom([[b]]B)

Def. [[.]]C

σ6∈Dom([[if(b)c1elsec2]]C)

2. hc, σi →Stmt⊥ ⇒σ6∈Dom([[c]]C) Induktionsschritt:

IFallc≡while(b)c: [[while(b)c]]_C=fix(Γ) IFallhb, σi →_Bexptrue,hc, σi →_Stmtσ⁰,hwhile(b)c, σ⁰i →_Stmtσ⁰⁰ hwhile(b)c, σi →KS Stmtσ⁰⁰

&

hc, σi →Stmtσ⁰

&

ks

IH fuerhc,σi→Stmtσ⁰+3(σ, σ⁰)∈[[c]]C

&

hwhile(b)c, σ⁰i →^{IH fuer}Stmt^hwhile(b)σ⁰⁰ks ^c,σ+3⁰(σ^i→⁰^Stmt, σ⁰⁰^σ)⁰⁰∈[[while(b)c]]C Def. [[.]]C

(σ, σ⁰⁰)∈[[while(b)c]]C

Äquivalenz operationale und denotationale Semantik

IFür allec∈Stmt, für alle Zuständeσ, σ⁰: hc, σi →_Stmtσ⁰⇔(σ, σ⁰)∈[[c]]C hc, σi →_Stmt⊥ ⇒σ6∈Dom([[c]]C)

I⇒Beweis per Induktion überdie (Tiefe der) Ableitungin der operationalen Semantik (Warum?)

I⇐Beweis Prinzip?per struktureller Induktion überc(Verwendung der Äquivalenz für arithmetische und boolsche Ausdrücke). Für die While-Schleife Rückgriff auf Definition des Fixpunkts und Induktion über die Teilmengen Γⁱ(∅) des Fixpunkts. (Warum?)

Beweis∀c∈Stmt.∀σ, σ⁰.(σ, σ⁰)∈[[c]]C⇒ hc, σi →Stmtσ⁰ Induktionsanfang:

IFallc≡x=a:

[[x=a]]C={(σ⁰⁰, σ⁰⁰[t/x])|(σ⁰⁰,t)∈[[a]]A}

(σ, σ⁰)∈ {(σ⁰⁰, σ⁰⁰[t/x])|(σ⁰⁰,t)∈[[a]]A} Def. [[.]]C..

=⇒ (σ,t) = [[a]]A∧σ⁰=σ[t/x] LemmaAExp

=⇒ ha, σi →Aexpt∧σ⁰=σ[t/x] Def.h.,.i→Stmt.

=⇒ hx=a, σi →_Stmtσ[t/x]∧σ⁰=σ[t/x]

=⇒ hx=a, σi →Stmtσ⁰ IFallc≡ {}

[[{}]]_C={(σ, σ)|σ∈Σ}

(σ, σ⁰)∈ {(σ⁰⁰, σ⁰⁰)|σ⁰⁰∈Σ}

Def. [[.]]C..

=⇒ σ=σ⁰

Def.h.,.i→Stmt.

=⇒ h{}, σi →Stmtσ∧σ=σ⁰

=⇒ h{}, σi →_Stmtσ⁰

Beweis∀c∈Stmt.∀σ, σ⁰.(σ, σ⁰)∈[[c]]C⇒ hc, σi →Stmtσ⁰ Induktionsschritt:

IFallif(b)c1elsec2:

[[if(b)c1elsec2]]C= {(σ⁰⁰, σ⁰⁰⁰)|(σ⁰⁰,true)∈[[b]]B,(σ⁰⁰, σ⁰⁰⁰)∈[[c1]]C}

∪{(σ⁰⁰, σ⁰⁰⁰)|(σ⁰⁰,false)∈[[b]]_B,(σ⁰⁰, σ⁰⁰⁰)∈[[c2]]_C} Induktionsannahme gilt fürc1undc2

IFall: (σ, σ⁰)∈ {(σ⁰⁰, σ⁰⁰⁰)|(σ⁰⁰,true)∈[[b]]B,(σ⁰⁰, σ⁰⁰⁰)∈[[c1]]C}

(σ, σ⁰)∈ {(σ⁰⁰, σ⁰⁰⁰)|(σ⁰⁰,true)∈[[b]]B,(σ⁰⁰, σ⁰⁰⁰)∈[[c1]]C}

Def. [[.]]C..

=⇒ (σ,true)∈[[b]]B∧(σ, σ⁰)∈[[c1]]C LemmaBExp

=⇒ hb, σi →Bexptrue∧(σ, σ⁰)∈[[c1]]C IA fürc1

=⇒ hb, σi →Bexptrue∧ hc1, σi →Stmtσ⁰

Def.h.,.i→Stmt.

=⇒ hif(b)c1elsec2, σi →Stmtσ⁰

IFall: (σ, σ⁰)∈ {(σ⁰⁰, σ⁰⁰⁰)|(σ⁰⁰,false)∈[[b]]B,(σ⁰⁰, σ⁰⁰⁰)∈[[c2]]C}

(σ, σ⁰)∈ {(σ⁰⁰, σ⁰⁰⁰)|(σ⁰⁰,true)∈[[b]]_B,(σ⁰⁰, σ⁰⁰⁰)∈[[c2]]_C}

Def. [[.]]C..

=⇒ (σ,false)∈[[b]]B∧(σ, σ⁰)∈[[c2]]C LemmaBExp

=⇒ hb, σi →Bexpfalse∧(σ, σ⁰)∈[[c2]]_C

IA fürc1

=⇒ hb, σi →_Bexpfalse∧ hc₂, σi →_Stmtσ⁰

Def.h.,.i→Stmt.

=⇒ hif(b)c1elsec2, σi →Stmtσ⁰

Beweis∀c∈Stmt.∀σ, σ⁰.(σ, σ⁰)∈[[c]]_C⇒ hc, σi →Stmtσ⁰ Induktionsschritt:

IFallwhile(b)c2:

[[while(b)c]]C=fix(Γ)

mit Γ(s) ={(σ, σ⁰)|(σ,true)∈[[b]]_B∧(σ, σ⁰)∈[[c]]_C◦s}

∪ {(σ, σ)|(σ,false)∈[[b]]B} Induktionshypothese gilt fürc

(σ, σ⁰)∈[[while(b)c]]C Def. [[.]]C..

=⇒ (σ, σ⁰)∈fix(Γ)

Beweis∀c∈Stmt.∀σ, σ⁰.(σ, σ⁰)∈[[c]]_C⇒ hc, σi →Stmtσ⁰ Induktionsschritt:

IFallwhile(b)c:

[[while(b)c]]_C=fix(Γ)

mit Γ(s) ={(σ, σ⁰)|(σ,true)∈[[b]]B∧(σ, σ⁰)∈[[c]]C◦s}

∪ {(σ, σ)|(σ,false)∈[[b]]_B} Induktionshypothese gilt fürc

(σ, σ⁰)∈[[while(b)c]]_C^{Def. [[.]]}=⇒^C^.. (σ, σ⁰)∈fix(Γ) Def.fix(Γ)

=⇒ (σ, σ⁰)∈[ i∈N

Γⁱ(∅)

Unterbeweis:∀i∈N.(σ, σ⁰)∈Γⁱ(∅)⇒ hwhile(b)c, σi →Stmtσ⁰ (UB) Woraus dann folgt, dass

(σ, σ⁰)∈[ i∈N

Γⁱ(∅)⇒ hwhile(b)c, σi →Stmtσ⁰ (1)