Korrekte Software: Grundlagen und Methoden Vorlesung 2 vom 10.04.18: Operationale Semantik

(1)

Korrekte Software: Grundlagen und Methoden Vorlesung 2 vom 10.04.18: Operationale Semantik

Serge Autexier, Christoph Lüth

Universität Bremen Sommersemester 2018

14:21:38 2018-06-22 1 [26]

Fahrplan

I Einführung

I Operationale Semantik I Denotationale Semantik

I Äquivalenz der Operationalen und Denotationalen Semantik I Die Floyd-Hoare-Logik

I Invarianten und die Korrektheit des Floyd-Hoare-Kalküls I Strukturierte Datentypen

I Modellierung und Spezifikation I Verifikationsbedingungen I Vorwärts mit Floyd und Hoare I Funktionen und Prozeduren I Referenzen

I Ausblick und Rückblick

Korrekte Software 2 [26]

Zutaten

// GGT(A,B) i f ( a == 0 ) r = b ; e l s e {

w h i l e ( b != 0 ) { i f ( a <= b )

b = b− a ; e l s e a = a− b ; }

r = a ; }

I Programme berechnenWerte I Basierend auf

I Werte sindVariablenzugewiesen

I Evaluation vonAusdrücken I Folgt dem Programmablauf

Unsere Programmiersprache

Wir betrachten einen Ausschnitt der ProgrammierspracheC(C0).

Ausbaustufe 1 kennt folgende Konstrukte:

I Typen:int;

I Ausdrücke: Variablen, Literale (für ganze Zahlen), arithmetische Operatoren (für ganze Zahlen), Relationen (==, <, . . . ), boolsche Operatoren (&&, || );

I Anweisungen:

IFallunterscheidung (if. . .else. . . ), Iteration (while), Zuweisung, Blöcke;

ISequenzierung und leere Anweisung sind implizit

Semantik von C0

I Die (operationale) Semantik einer imperativen Sprache wie C0 ist ein Zustandsübergang: das System hat einen impliziten Zustand, der durch Zuweisung vonWertenanAdressengeändert werden kann.

Systemzustände

I Ausdrücke werten zuWertenV(hier ganze Zahlen) aus.

I AdressenLocsind hier Programmvariablen (Namen)

I EinSystemzustandbildet Adressen auf Werte ab: Σ =Loc*V I Ein Programm bildet einen Anfangszustandmöglicherweiseauf einen

Endzustand ab (wenn esterminiert).

I Zusicherungen sind Prädikate über dem Systemzustand.

C0: Ausdrücke und Anweisungen

Aexpa::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 Bexp b::=1|0|a1==a2|a1<a2|!b|b1&&b2|b1||b2

Expe:=a|b Stmtc ::= Idt=Exp

| if(b)c1 elsec2

| while(b)c

| c1;c2

| { } NB: Nicht diekonkreteSyntax.

Eine Handvoll Beispiele

//{y=Y∧y≥0}

x = 1 ;

w h i l e ( y != 0 ) { y = y−1;

x = 2∗x ; }

//{x= 2^Y}

//{a≥0∧b≥0}

r = b ; q = 0 ;

w h i l e ( b <= r ) { r = r−a ; q = q +1;

}

//{a=b∗q+r∧r<b}

p = 1 ; c = 1 ; w h i l e ( c<=n ) {

c = c +1;

p = p∗c ; }

//{p=n!}

//{0≤a}

t = 1 ; s = 1 ; i = 0 ;

w h i l e ( s <= a ) { t = t + 2 ; s = s + t ; i = i + 1 ; }

//{i²≤a∧a<(i+ 1)²}

Operationale Semantik: Arithmetische Ausdrücke

Ein arithmetischer Ausdruckawertet unter gegebenen Zustandσzu einer ganzen Zahln(Wert) aus oder zu einem Fehler⊥.

I Aexpa::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 I Zustände bilden Adressen/Programmvariablen aufWerteab (σ)

ha, σi →_Aexpn|⊥

Regeln:

hn, σi →Aexpn x∈Loc,x∈Dom(σ), σ(x) =v

hx, σi →Aexpv

x∈Loc,x6∈Dom(σ) hx, σi →Aexp⊥

(2)

Operationale Semantik: Arithmetische Ausdrücke

I Aexpa::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 ha, σi →Aexpn⊥¯

ha₁, σi →_Aexpn1 ha₂, σi →_Aexpn2 ni∈Z,nSummen1undn2 ha1+a2, σi →Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥odern2=⊥ ha1+a2, σi →Aexp⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,nDiff.n1undn2 ha₁−a2, σi →_Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥odern2=⊥ ha₁−a2, σi →_Aexp⊥

Operationale Semantik: Arithmetische Ausdrücke

I Aexpa::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 ha, σi →Aexpn|⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,nProduktn1undn2

ha1∗a2, σi →Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥odern2=⊥ ha1∗a2, σi →Aexp⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,n26= 0,nQuotientn1,n2

ha1/a2, σi →Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥,n2=⊥odern2= 0 ha₁/a2, σi →_Aexp⊥

Beispiel-Ableitungen

Seiσ(x) = 6, σ(y) = 5.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp5 hx−y, σi →Aexp1 h(x+y)∗(x−y), σi →Aexp11

hx, σi →Aexp6 hx, σi →Aexp6 hx∗x, σi →_Aexp36

hy, σi →Aexp5 hy, σi →Aexp5 hy∗y, σi →_Aexp25 h(x∗x)−(y∗y), σi →Aexp11

Operationale Semantik: Boolesche Ausdrücke

I Bexpb::= 0|1|a1==a2|a1 <a2|!b|b1&&b2|b1 || b2 Regeln:

hb, σi →Bexp1|0|⊥

h1, σi →Bexp1 h0, σi →Bexp0

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni6=⊥,n1undn2gleich ha1==a2, σi →Bexp1

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni6=⊥,n1undn2ungleich ha₁==a2, σi →_Bexp0

ha1, σi →Aexpn1 ha2, σi →Aexpn2 n1=⊥orn2=⊥ ha₁==a2, σi →_Bexp⊥

Operationale Semantik: Boolesche Ausdrücke

hb, σi →_Bexp1|0|⊥

hb, σi →_Bexp1 h!b, σi →Bexp0

hb, σi →_Bexp0 h!b, σi →Bexp1

hb, σi →_Bexp⊥ h!b, σi →Bexp⊥ hb₁, σi →_Bexpt1 hb₂, σi →_Bexpt2

hb1&&b2, σi →Bexpt

wobei t= 1 wennt1=t2= 1;

t= 0 wennt1= 0 oder (t1= 1 undt2= 0);

t=⊥sonst

Operationale Semantik: Boolesche Ausdrücke

hb, σi →_Bexp1|0|⊥

hb₁, σi →_Bexpt1 hb₂, σi →_Bexpt2 hb1||b2, σi →Bexpt

wobei t= 0 wennt1=t2= 0;

t= 1 wennt1= 1 oder (t1= 0 undt2= 1);

t=⊥sonst

Operationale Semantik: Anweisungen

I Stmtc::=Idt=Exp|if(b)c1 else c2|while(b)c|c1;c2| { } Beispiel:

hc, σi →_Stmtσ⁰|⊥

hx= 5, σi →Stmtσ⁰

wobeiσ⁰(x) = 5 undσ⁰(y) =σ(y) für alley6=x

Operationale Semantik: Anweisungen

I Stmtc::=Idt=Exp|if(b)c1 elsec2|while(b)c|c1;c2| { } Regeln:

Definiere:

σ[m/x](y) :=

(m ifx=y σ(y) sonst

hx= 5, σi →_Stmtσ[5/x] Es gilt:

∀σ,n,m,∀x,y.x6=y⇒σ[n/x][m/y] =σ[m/y][n/x]

∀σ,n,m,∀x. σ[n/x][m/x] =σ[m/x]

(3)

Operationale Semantik: Anweisungen

I Stmtc::=Idt=Exp|if(b)c1 else c2|while(b)c|c1;c2| { } Regeln:

h{ }, σi →Stmtσ ha, σi →Aexpn∈Z

hx=a, σi →_Stmtσ[n/x]

ha, σi →Aexp⊥ hx=a, σi →_Stmt⊥ hc1, σi →Stmtσ⁰6=⊥ hc2, σ⁰i →Stmtσ⁰⁰6=⊥

hc₁;c2, σi →_Stmtσ⁰⁰ hc1, σi →_Stmt⊥ hc1;c2, σi →Stmt⊥

hc₁, σi →_Stmtσ⁰6=⊥ h{c₂}, σ⁰i →_Stmt⊥ hc1;c2, σi →Stmt⊥

Operationale Semantik: Anweisungen

I Stmtc::=Idt=Exp|if(b)c1 elsec2|while(b)c|c1;c2| { } Regeln:

hb, σi →Bexp1 hc1, σi →Stmtσ⁰ hif(b)c1 elsec2, σi →_Stmtσ⁰ hb, σi →_Bexp0 hc₂, σi →_Stmtσ⁰

hif(b)c1 elsec2, σi →Stmtσ⁰ hb, σi →_Bexp⊥ hif(b)c1 elsec2, σi →Stmt⊥

Operationale Semantik: Anweisungen

I Stmtc::=Idt=Exp|if(b)c1 else c2|while(b)c|c1;c2| { } Regeln:

hb, σi →Bexp0 hwhile(b)c, σi →_Stmtσ

hb, σi →Bexp1 hc, σi →Stmtσ⁰ hwhile(b)c, σ⁰i →Stmtσ⁰⁰ hwhile(b)c, σi →_Stmtσ⁰⁰

hb, σi →_Bexp1 hc, σi →_Stmt⊥ hwhile(b)c, σi →_Stmt⊥

hb, σi →_Bexp⊥ hwhile(b)c, σi →_Stmt⊥

Beispiel

x = 1 ;

w h i l e ( y != 0 ) { y = y− 1 ; x = 2 ∗ x ; }

//x= 2^y σ(y) = 3

Äquivalenz arithmetischer Ausdrücke

Gegeben zwei Aexpa1anda2 I Sind sie gleich?

a1∼Aexpa2gdw∀σ,n.ha1, σi →Aexpn⇔ ha2, σi →Aexpn ( x∗x ) + 2∗x∗y + ( y∗y ) und ( x+y ) ∗ ( x+y )

I Wann sind sie gleich?

∃σ,n.ha1, σi →Aexpn⇔ ha2, σi →Aexpn

x∗x und 9∗x+22

x∗x und x∗x+1

Äquivalenz Boolscher Ausdrücke

Gegeben zwei Bexp-Ausdrückeb1andb2 I Sind sie gleich?

b1∼Bexpb2iff∀σ,b.hb1, σi →Bexpb⇔ hb2, σi →Bexpb A | | (A && B) und A

Beweisen

Zwei Programmec0,c1sind äquivalent gdw. sie die gleichen Zustandsveränderungen bewirken. Formal definieren wir Definition

c0∼c1iff∀σ, σ⁰.hc₀, σi →_Stmtσ⁰⇔ hc₁, σi →_Stmtσ⁰

Ein einfaches Beispiel:

Lemma

Sei w≡while(b)c mit b∈Bexp, c∈Stmt.

Dann gilt: w∼if(b){c;w} else{ } Beweis an der Tafel

Beweis

Gegeben beliebiger Programmzustandσ. Zu zeigen ist, dass sowohlw also auchif(b){c;w} else{ }zu dem selben Programmzustand auswerten oder beide zu einem Fehler. Der Beweis geht per Fallunterscheidung über die Auswertung von Teilausdrücken bzw.

Teilprogrammen.

1 hb, σi →Bexp0:

hwhile(b)c, σi →_Stmtσ

hif(b){c;w} else{ }, σi →Stmth{ }, σi →Stmtσ

2 hb, σi →Bexp1:

1 hc, σi →Stmtσ⁰ h

w

z }| {

while(b)c, σi →Stmthc, σi →Stmtσ⁰ hw, σ⁰i →Stmtσ⁰⁰

hif(b){c;w}else{ }, σi →Stmth{c;w}, σi →Stmthc, σi →Stmtσ⁰ hw, σ⁰i →Stmtσ⁰⁰

(4)

Beweis II

2.hb, σi →Bexp1:

2.2.hc, σi →Stmt⊥

h

w

z }| {

while(b)c, σi →_Stmthc, σi →_Stmt⊥

hif(b){c;w}else{ }, σi →_Stmth{c;w}, σi →_Stmthc, σi →_Stmt⊥

3.hb, σi →Bexp⊥:

hwhile(b)c, σi →Stmt⊥ hif(b){c;w} else{ }, σi →_Stmt⊥

Zusammenfassung

I Operationale Semantik als ein Mittel zur Beschreibung der Semantik

I Auswertungsregeln arbeiten entlang der syntaktischen Struktur

I Werten Ausdrücke zu Werten aus und Programme zu Zuständen (zu gegebenen Zustand)

I Fragen zu Programmen: Gleichheit