Korrekte Software: Grundlagen und Methoden Vorlesung 2 vom 09.04.19

(1)

Korrekte Software: Grundlagen und Methoden Vorlesung 2 vom 09.04.19

Operationale Semantik

Serge Autexier, Christoph Lüth Universität Bremen Sommersemester 2019

11:27:19 2019-07-04 1 [26]

Fahrplan

IEinführung

IOperationale Semantik IDenotationale Semantik

IÄquivalenz der Operationalen und Denotationalen Semantik IDer Floyd-Hoare-Kalkül

IInvarianten und die Korrektheit des Floyd-Hoare-Kalküls IStrukturierte Datentypen

IVerifikationsbedingungen IVorwärts mit Floyd und Hoare IModellierung

ISpezifikation von Funktionen IReferenzen und Speichermodelle

IFunktionsaufrufe und das Framing-Problem IAusblick und Rückblick

Korrekte Software 2 [26]

Zutaten

// GGT(A,B) i f ( a == 0 ) r = b ; e l s e {

w h i l e ( b != 0 ) { i f ( a <= b )

b = b− a ; e l s e a = a− b ; }

r = a ; }

IProgramme berechnenWerte IBasierend auf

I Werte sindVariablenzugewiesen I Evaluation vonAusdrücken IFolgt dem Programmablauf

Unsere Programmiersprache

Wir betrachten einen Ausschnitt der ProgrammierspracheC(C0).

Ausbaustufe 1 kennt folgende Konstrukte:

ITypen:int;

IAusdrücke: Variablen, Literale (für ganze Zahlen), arithmetische Operatoren (für ganze Zahlen), Relationen (==, <, . . . ), boolsche Operatoren (&&, || );

IAnweisungen:

IFallunterscheidung (if. . .else. . . ), Iteration (while), Zuweisung, Blöcke;

ISequenzierung und leere Anweisung sind implizit

C0: Ausdrücke und Anweisungen

Aexp a::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 Bexp b::=1|0|a1==a2|a1<a2|!b|b1&&b2|b1||b2

Expe:=a|b Stmt c::= Idt=Exp

| if(b)c1 elsec2

| while(b)c

| c1;c2

| { } NB: Nicht diekonkreteSyntax.

Eine Handvoll Beispiele

a = (3+ y )∗x+5∗b ; a = ((3+ y )∗x )+(5∗b ) ; a = 3+y∗x+5∗b ;

p = 1 ; c = 1 ;

w h i l e ( c <= n ) { p= p∗ c ; c= c+ 1 ; }

Semantik von C0

IDie (operationale) Semantik einer imperativen Sprache wie C0 ist ein Zustandsübergang: das System hat einen impliziten Zustand, der durch Zuweisung vonWertenanAdressengeändert werden kann.

Systemzustände

IAusdrücke werten zuWertenV(hier ganze Zahlen) aus.

IAdressenLocsind hier Programmvariablen (Namen):Loc=Idt IEinSystemzustandbildet Adressen auf Werte ab: Σ =Loc*V IEin Programm bildet einen Anfangszustandmöglicherweiseauf einen

Endzustand ab (wenn esterminiert).

Partielle, endliche Abbildungen

Zustände sindpartielle, endliche Abbildungen(finite partial maps) f :X*A

Notation:

If(x) für den Wert vonxinf (lookup) If(x) =⊥wennxnicht inf (undefined)

If[n/x] für den Update an der Stellexmit dem Wertn:

f[n/x](y)=^def

(n ifx=y f(y) otherwise

Ihx7→n,y7→miu.ä. für konkrete Abbildungen.

Ihiist die leere (überall undefinierte Abbildung):

hi(x) =⊥

(2)

Operationale Semantik: Arithmetische Ausdrücke

Ein arithmetischer Ausdruckawertet unter gegebenen Zustandσzu einer ganzen Zahln(Wert) aus oder zu einem Fehler⊥.

IAexpa::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 ha, σi →Aexpn| ⊥ Regeln:

hn, σi →_Aexpn x∈Idt,x∈Dom(σ), σ(x) =v

hx, σi →_Aexpv

x∈Idt,x6∈Dom(σ) hx, σi →_Aexp⊥

Operationale Semantik: Arithmetische Ausdrücke

IAexpa::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 ha, σi →Aexpn| ⊥

ha₁, σi →_Aexpn1 ha₂, σi →_Aexpn2 ni∈Z,nSummen1undn2 ha1+a2, σi →Aexpn

ha₁, σi →_Aexpn1 ha₂, σi →_Aexpn2 fallsn1=⊥odern2=⊥ ha1+a2, σi →Aexp⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,nDiff.n1undn2 ha1−a2, σi →_Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥odern2=⊥ ha₁−a2, σi →_Aexp⊥

Operationale Semantik: Arithmetische Ausdrücke

IAexpa::=Z|Idt|a1+a2|a1−a2|a1∗a2|a1/a2 ha, σi →_Aexpn| ⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,nProduktn1undn2

ha1∗a2, σi →Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥odern2=⊥ ha1∗a2, σi →Aexp⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,n26= 0,nQuotientn1,n2

ha1/a2, σi →Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥,n2=⊥odern2= 0 ha1/a2, σi →Aexp⊥

Beispiel-Ableitungen

Seiσ^def=hx7→6,y7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp5 hx−y, σi →Aexp1 h(x+y)∗(x−y), σi →Aexp11

hx, σi →Aexp6 hx, σi →Aexp6 hx∗x, σi →_Aexp36

hy, σi →Aexp5 hy, σi →Aexp5 hy∗y, σi →_Aexp25 h(x∗x)−(y∗y), σi →Aexp11

Operationale Semantik: Boolesche Ausdrücke

IBexpb::= 0|1|a1==a2|a1 <a2|!b|b1&&b2|b1 || b2 hb, σi →_Bexptrue|false| ⊥

Regeln:

h1, σi →Bexptrue h0, σi →Bexpfalse ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni6=⊥,n1undn2gleich

ha1==a2, σi →_Bexptrue

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni6=⊥,n1undn2ungleich ha₁==a2, σi →_Bexpfalse

ha1, σi →_Aexpn1 ha2, σi →_Aexpn2 n1=⊥orn2=⊥ ha1==a2, σi →Bexp⊥

Operationale Semantik: Boolesche Ausdrücke

IBexpb::= 0|1|a1==a2|a1 <a2|!b|b1&&b2|b1 || b2 hb, σi →Bexptrue|false| ⊥

Regeln:

hb, σi →Bexptrue h!b, σi →Bexpfalse

hb, σi →Bexpfalse h!b, σi →Bexptrue

hb, σi →Bexp⊥ h!b, σi →Bexp⊥ hb1, σi →Bexpt1 hb2, σi →Bexpt2

hb1&&b2, σi →_Bexpt

wobei t=truewennt1=t2=true;

t=falsewennt1=falseoder (t1=trueundt2=false);

t=⊥sonst

Operationale Semantik: Boolesche Ausdrücke

IBexpb::= 0|1|a1==a2|a1 <a2|!b|b1&&b2|b1 || b2 hb, σi →_Bexptrue|false| ⊥

Regeln:

hb₁, σi →_Bexpt1 hb₂, σi →_Bexpt2 hb1||b2, σi →Bexpt wobei t=falsewennt1=t2=false;

t=truewennt1=trueoder (t1=falseundt2=true);

t=⊥sonst

Operationale Semantik: Anweisungen

IStmtc::=Idt=Exp|if(b)c1 elsec2|while(b)c|c1;c2| { } Beispiel:

hc, σi →_Stmtσ⁰| ⊥ hx= 5, σi →Stmtσ⁰

wobeiσ⁰(x) = 5 undσ⁰(y) =σ(y) für alley6=x

(3)

Operationale Semantik: Anweisungen

IStmtc::=Idt=Exp|if(b)c1 else c2|while(b)c|c1;c2| { } Regeln:

h{ }, σi →Stmtσ ha, σi →Aexpn∈Z

hx=a, σi →_Stmtσ[n/x]

ha, σi →Aexp⊥ hx=a, σi →_Stmt⊥ hc1, σi →Stmtσ⁰6=⊥ hc2, σ⁰i →Stmtσ⁰⁰6=⊥

hc₁;c2, σi →_Stmtσ⁰⁰ hc1, σi →_Stmt⊥ hc1;c2, σi →Stmt⊥

hc₁, σi →_Stmtσ⁰6=⊥ hc₂, σ⁰i →_Stmt⊥ hc1;c2, σi →Stmt⊥

Operationale Semantik: Anweisungen

IStmtc::=Idt=Exp|if(b)c1 elsec2|while(b)c|c1;c2| { } Regeln:

hb, σi →Bexptrue hc1, σi →Stmtσ⁰ hif(b)c1 elsec2, σi →_Stmtσ⁰ hb, σi →_Bexpfalse hc₂, σi →_Stmtσ⁰

hif(b)c1 elsec2, σi →Stmtσ⁰ hb, σi →_Bexp⊥ hif(b)c1 elsec2, σi →Stmt⊥

Operationale Semantik: Anweisungen

IStmtc::=Idt=Exp|if(b)c1 else c2|while(b)c|c1;c2| { } Regeln:

hb, σi →Bexpfalse hwhile(b)c, σi →_Stmtσ

hb, σi →Bexptrue hc, σi →Stmtσ⁰ hwhile(b)c, σ⁰i →Stmtσ⁰⁰ hwhile(b)c, σi →_Stmtσ⁰⁰

hb, σi →_Bexptrue hc, σi →_Stmt⊥ hwhile(b)c, σi →_Stmt⊥

hb, σi →_Bexp⊥ hwhile(b)c, σi →_Stmt⊥

Beispiel

x = 1 ;

w h i l e ( y != 0 ) { y = y− 1 ; x = 2 ∗ x ; }

//x= 2^y σ^def=hy7→3i

Äquivalenz arithmetischer Ausdrücke

Gegeben zwei Aexpa1anda2 ISind sie gleich?

a1∼Aexpa2gdw∀σ,n.ha1, σi →Aexpn⇔ ha2, σi →Aexpn ( x∗x ) + 2∗x∗y + ( y∗y ) und ( x+y ) ∗ ( x+y )

IWann sind sie gleich?

∀σ,n.ha1, σi →Aexpn⇔ ha2, σi →Aexpn

x∗x und 8∗x+9

x∗x und x∗x+1

Äquivalenz Boolscher Ausdrücke

Gegeben zwei Bexp-Ausdrückeb1andb2 ISind sie gleich?

b1∼Bexpb2iff∀σ,b.hb1, σi →Bexpb⇔ hb2, σi →Bexpb A | | (A && B) und A

Beweisen

Zwei Programmec0,c1sind äquivalent gdw. sie die gleichen Zustandsveränderungen bewirken. Formal definieren wir Definition

c0∼c1iff∀σ, σ⁰.hc₀, σi →_Stmtσ⁰⇔ hc₁, σi →_Stmtσ⁰

Ein einfaches Beispiel:

Lemma

Sei w≡while(b)c mit b∈Bexp, c∈Stmt.

Dann gilt: w∼if(b){c;w} else{ }

Beweis

Gegeben beliebiger Programmzustandσ. Zu zeigen ist, dass sowohlw also auchif(b){c;w} else{ }zu dem selben Programmzustand auswerten oder beide zu einem Fehler. Der Beweis geht per Fallunterscheidung über die Auswertung von Teilausdrücken bzw.

Teilprogrammen.

1 hb, σi →_Bexp⊥:

hwhile(b)c, σi →Stmt⊥ hif(b){c;w} else{ }, σi →Stmt⊥

2 hb, σi →_Bexpfalse:

hwhile(b)c, σi →Stmtσ

hif(b){c;w} else{ }, σi →Stmth{ }, σi →Stmtσ

(4)

Beweis II

3 hb, σi →_Bexptrue:

1 hc, σi →Stmtσ⁰ h

w

z }| {

while(b)c, σi →Stmthc, σi →Stmtσ⁰ hw, σ⁰i →Stmtσ⁰⁰

hif(b){c;w}else{ }, σi →Stmth{c;w}, σi →Stmthc, σi →Stmtσ⁰ hw, σ⁰i →Stmtσ⁰⁰

2 hc, σi →Stmt⊥ h

w

z }| {

while(b)c, σi →Stmthc, σi →Stmt⊥

hif(b){c;w}else{ }, σi →Stmth{c;w}, σi →Stmthc, σi →Stmt⊥

Zusammenfassung

IOperationale Semantik als ein Mittel zur Beschreibung der Semantik

IAuswertungsregeln arbeiten entlang der syntaktischen Struktur

IWerten Ausdrücke zu Werten aus und Programme zu Zuständen (zu gegebenen Zustand)

IFragen zu Programmen: Gleichheit