Korrekte Software: Grundlagen und Methoden
Vorlesung 5 vom 04.05.17: Äquivalenz der Operationalen und Denotationalen Semantik
Serge Autexier, Christoph Lüth
Universität Bremen
Sommersemester 2017
I Einführung
I Die Floyd-Hoare-Logik
I Operationale Semantik
I Denotationale Semantik
I Äquivalenz der Operationalen und Denotationalen Semantik
I Korrektheit des Hoare-Kalküls
I Vorwärts und Rückwärts mit Floyd und Hoare
I Funktionen und Prozeduren
I Referenzen und Speichermodelle
I Verifikationsbedingungen Revisited
I Vorwärtsrechnung Revisited
I Programmsicherheit und Frame Conditions
Operationale vs. denotationale Semantik
Operational ha, σi →Aexp n DenotationalA[[a]]
m∈N hm, σi →Aexp m {(σ,m)|σ ∈Σ}
x∈Loc x∈Dom(σ)
hx, σi →Aexp σ(x) {(σ, σ(x))|σ∈Σ,x∈ Dom(σ)}
a1◦a2
ha1, σi →Aexp n ha2, σi →Aexp m
n,m6=⊥
ha1◦a2, σi →Aexp n◦Im {(σ,n◦Im)|σ∈Σ,(σ,n)∈ A[[a1]],(σ,m)∈ A[[a2]]}
ha1, σi →Aexp n ha2, σi →Aexp m n=⊥oderm=⊥ ha1◦a2, σi →Aexp ⊥
◦ ∈ {+,∗,−}
Operational ha, σi →Aexp n DenotationalA[[a]]
a1/a2
ha1, σi →Aexp n ha2, σi →Aexp m m6= 0 m,n 6=⊥
ha1◦a2, σi →Aexp n◦Im {(σ,n/m)|σ ∈Σ,(σ,n)∈ A[[a1]],(σ,m)∈ A[[a2]],m6=
0}
ha1, σi →Aexp n ha2, σi →Aexp m n =⊥,m=⊥oder m= 0
ha1/a2, σi →Aexp ⊥
Äquivalenz operationale und denotationale Semantik
I Für allea∈Aexp, für alle n∈N, für alle Zuständeσ:
ha, σi →Aexp n ⇔(σ,n)∈ A[[a]]
ha, σi →Aexp ⊥ ⇔σ6∈Dom(A[[a]])
I Beweis per struktureller Induktion übera.
Operationalhb, σi →Bexp 0|1 Denotational B[[b]]
1 h1, σi →Bexp1 {(σ,1)|σ ∈Σ}
0 h0, σi →Bexp0 {(σ,0)|σ ∈Σ}
Operationale vs. denotationale Semantik
Operat. hb, σi →Bexp0|1 DenotationalB[[b]]
a0 ==a1
ha0, σi →Aexp n ha1, σi →Aexp m n,m6=⊥ n=m ha0 ==a1, σi →Bexp1
ha0, σi →Aexp n ha1, σi →Aexp m n,m6=⊥ n6=m ha0 ==a1, σi →Bexp0
ha0, σi →Aexp n ha1, σi →Aexp m n=⊥oder m=⊥ ha0==a1, σi →Bexp⊥
{(σ,1)|σ ∈Σ,
(σ,n0)∈ A[[a0]], (σ,n1)∈ A[[a1]], n0 =n1 }
∪
{(σ,0)|σ ∈Σ,
(σ,n0)∈ A[[a0]], (σ,n1)∈ A[[a1]], n0 6=n1 }
a1<=a2 analog
Operationalha, σi →Bexpb Denotational B[[b]]
b1&&b0 hb1, σi →Bexp0
hb1&&b2, σi →0 {(σ,0)|(σ,0)∈ B[[b1]]}
hb1, σi →Bexp1 hb2, σi →Bexpb
hb1&&b2, σi →b {(σ,b)|(σ,1)∈ B[[b1]],(σ,b)∈ B[[b2]]}
hb1, σi →Bexp⊥ hb1&&b2, σi → ⊥
b1||b2 analog
!n . . .
Äquivalenz operationale und denotationale Semantik
I Für alleb∈Bexp, für allet ∈B, for alle Zuständeσ:
hb, σi →Bexpt ⇔(σ,t)∈ B[[b]]
hb, σi →Bexp ⊥ ⇔σ6∈Dom(B[[b]])
I Beweis per struktureller Induktion überb (unter Verwendung der Äquivalenz für AExp).
Operational hc, σi →Stmt σ0|⊥
DenotationalC[[c]]
{c1. . .cn}
h{}, σi →Stmt σ hc1, σi →Stmt σ00 6=⊥ h{c2. . .cn}, σ0i →Stmt σ00
h{c1. . .cn}, σi →Stmt σ00 hc1, σi →Stmt ⊥ h{c1. . .cn}, σi →Stmt ⊥
B[[cn]]◦. . .B[[c1]]◦Id
x =a ha, σi →Aexp n hx =a, σi →Stmt σ[n/x]
ha, σi →Aexp ⊥
{(σ, σ[n/X])|(σ,n)∈ A[[a]]}
Operationale vs. denotationale Semantik
Operational hc, σi →Stmt σ0|⊥
DenotationalC[[c]]
if (b) c0
hb, σi →Bexp1 hc0, σi →Stmt σ0
hc, σi →Stmt σ0 hb, σi →Bexp⊥ hc, σi →Stmt ⊥
{(σ, σ0)|(σ,1)∈ B[[b]],(σ, σ0)∈ C[[c0]]}
elsec1
hb, σi →Bexp0 hc1, σi →Stmt σ0
hc, σi →Stmt σ0 {(σ, σ0)|(σ,0)∈ B[[b]],(σ, σ0)∈ C[[c1]]}
Operationalhc, σi →Stmt σ0|⊥ Denotational C[[c]]
while (b) c
| {z }
w
hb, σi →Bexp 0 hw, σi →Stmt σ
hb, σi →Bexp⊥ hw, σi →Stmt ⊥
hb, σi →Bexp 1 hc, σi →Stmt σ0 6=⊥ hw, σ0i →Stmt σ00 hw, σi →Stmt σ00
fix(Γ)
hb, σi →Bexp 1 hc, σi →Stmt ⊥ hw, σi →Stmt ⊥
mit
Γ(ϕ) = {(σ, σ0)|(σ,1)∈ B[[b]],(σ, σ0)∈ϕ◦ C[[c]]}
∪{(σ, σ)|(σ,0)∈ B[[b]]}
Äquivalenz operationale und denotationale Semantik
I Für allec ∈Stmt, für alle Zuständeσ, σ0:
hc, σi →Stmt σ0 ⇔(σ, σ0)∈ C[[c]]
hc, σi →Stmt ⊥ ⇒σ6∈Dom(C[[c]])
I ⇒Beweis per Induktion über die Ableitung in der operationalen Semantik
I ⇐Beweis per struktureller Induktion überc (Verwendung der Äquivalenz für arithmetische und boolsche Ausdrücke). Für die While-Schleife Rückgriff auf Definition des Fixpunkts und Induktion über die Teilmengen Γi(∅) des Fixpunkts.
I Gegenbeispiel für⇐in der zweiten Aussage: wählec≡while(1){}:
C[[c]] =∅aberhc, σi →Stmt⊥gilt nicht (sondern?).
