Formale Veri kation auf Grundlage der operationellen Semantik

(1)

Formale Verikation auf Grundlage der operationellen Semantik

Jan Peleska Universitat Bremen

FB 3 - Informatik

AG Betriebssysteme und verteilte Systeme jp@informatik.uni-bremen.de

15. Dezember 2008

Zusammenfassung

Anhand von Beispielen wird die formale Verikation auf Basis der operationellen Semantik fur while-Sprachen illustriert. Die Semantik ist beispielsweise in Gunter Saake, Kai-Uwe Sattler: Algorithmen und Datenstrukturen. dpunkt 2004 deniert.

Invarianten und induktives Schließen: Verifikation von while-Schleifen

Das Beispiel: Ziel unser Verikation ist der Nachweis, dass folgendes Java Codefragment ein grotes Element des Arraysaermittelt.

1 // Deklaration des Arrays a.

2 // M wurde vorher definiert als beliebiger int-Wert >= 0 3 int a[] = new int[M];

4

5 // ... a[] wird mit Werten belegt ...

6 // Jetzt gilt der fuer uns relevante Vorzustand Z_Pre 7 int max = a[0];

8 int i = 1;

9

10 while ( i < a.length ) { 11 if ( max < a[i] ) {

12 max = a[i];

13 }

(2)

14 i = i + 1;

15 }

16 // Nachbedingung POST soll hier gelten.

17 // Der Nachzustand ist mit Z_Post bezeichnet.

Die formale Spezifikation: Die Prazisierung der oben informell beschrie- benen Spezikation erfolgt durch die NachbedingungPOST:

POST ≡_def MAX∧MAXINA∧UNCHGD

MAX ≡_def ∀k∈{0, . . . , Z_Post(a.length) −1}:Z_Post(a[k])≤Z_Post(max) MAXINA ≡_def ∃k∈{0, . . . , Z_Post(a.length) −1}:Z_Post(a[k]) =Z_Post(max) UNCHGD ≡_def Z_Post(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z_Post(a.length) −1}:Z_Post(a[k]) =Z_Pre(a[k])) Als Hilfe fur den Nachweis werden wir zeigen, dassINV eine Invariante

der while-Schleife ist:

INV ≡_def MAXI∧MAXINAI∧UNCHGDI∧Z(i)≤Z(a.length) MAXI ≡_def ∀k∈{0, . . . , Z(i) −1}:Z(a[k])≤Z(max)

MAXINAI ≡_def ∃k∈{0, . . . , Z(i) −1}:Z(a[k]) =Z(max) UNCHGDI ≡_def Z(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z(a.length) −1}:Z(a[k]) =Z_Pre(a[k]))

Die induktive Verifikationsstrategie: Die formale Verikation wird jetzt nach dem Induktionsprinzip aufgebaut:

1. Lemma 1 zeigt, dass INV vor Erreichen von Zeile 9 mit dem dort gultigen Zustand Z₈ gilt.

2. Lemma 2 zeigt, dass, wenn INV bei Eintritt in den while-Block im aktuell vorliegenden Zustand Z gilt, INV auch am Ende des while- Blocks (also nach Zeile 13) im dann erreichten Zustand Z⁰ gilt.

Aus Lemma 1 und 2 folgt, dass Erreichen von Zeile 15 im dort vorliegenden ZustandZ_Post

INV[ZPost/Z]∧Z_Post(i)≥Z_Post(a.length)

gilt¹. Hieraus folgern wir in Lemma 3, dass dies die gewunschte Nachbedin- gungPOSTimpliziert.

1Die Schreibweise INV[p/q] bedeutet: \Ersetze jedes Vorkommen von q durch p im AusdruckINV".

(3)

Die Beweise der Lemmata:

Lemma 1 INV gilt vor Eintritt in die while-Schleife nach Ausfuhrung von Zeile 8 vorliegenden Zustand Z₈.

Beweis:Auf dem VorzustandZ_Pre wirken die Anweisungen aus Zeile 7 und 8 wie folgt:

Z₈ =

[[int max=a[0]; int i=1]](Z_Pre) = [[int i=1]]([[int max=a[0]]](Z_Pre)) = [[int i=1]](Z_Pre⊕{max7→Z_Pre(a[0])}) = Z_Pre⊕{max7→Z_Pre(a[0]),i7→1}

Wir betrachten jetzt die Gestalt der Invarianten in ZustandZ₈: INV[Z₈/Z] ≡ MAXI[Z₈/Z]∧MAXINAI[Z₈/Z]∧

UNCHGDI[Z₈/Z]∧Z₈(i)≤Z₈(a.length) MAXI[Z₈/Z] ≡ ∀k∈{0, . . . , Z₈(i) −1}:Z₈(a[k])≤Z₈(max) MAXINAI[Z₈/Z] ≡ ∃k∈{0, . . . , Z₈(i) −1}:Z₈(a[k]) =Z₈(max) UNCHGDI[Z8/Z] ≡ Z₈(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z₈(a.length) −1}:Z₈(a[k]) =Z_Pre(a[k])) Da nach obiger Berechnung

Z₈(i) =Z_Pre⊕{max7→Z_Pre(a[0]),i7→1}(i) =1 und

Z₈(max) =Z_Pre⊕{max7→Z_Pre(a[0]),i7→1}(i) =Z_Pre(a[0]) und

Z₈(a[0]) =Z_Pre⊕{max7→Z_Pre(a[0]),i7→1}(i) =Z_Pre(a[0]) und

Z₈(a.length) =Z_Pre⊕{max7→Z_Pre(a[0]),i7→1}(a.length) =Z_Pre(a.length) gilt, konnen wir die Invariante in ZustandZ₈ zu

INV[Z₈/Z] ≡ MAXI[Z₈/Z]∧MAXINAI[Z₈/Z]∧

UNCHGDI[Z₈/Z]∧1≤Z₈(a.length) MAXI[Z₈/Z] ≡ ∀k∈{0}:Z₈(a[k])≤Z_Pre(a[0])

MAXINAI[Z₈/Z] ≡ ∃k∈{0}:Z₈(a[k]) =Z_Pre(a[0]) UNCHGDI[Z8/Z] ≡ Z₈(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z₈(a.length) −1}:Z₈(a[k]) =Z_Pre(a[k]))

(4)

und dann weiter zu

INV[Z₈/Z] ≡ MAXI[Z₈/Z]∧MAXINAI[Z₈/Z]∧

UNCHGDI[Z₈/Z]∧1≤Z_Pre(a.length) MAXI[Z₈/Z] ≡ Z_Pre(a[0])≤Z_Pre(a[0])

MAXINAI[Z₈/Z] ≡ Z_Pre(a[0]) =Z_Pre(a[0])

UNCHGDI[Z₈/Z] ≡ Z_Pre(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z₈(a.length) −1}:Z₈(a[k]) =Z_Pre(a[k])) vereinfachen, und letzteres Pradikat ist wahr, weil der Array in den Anwei- sungen nicht verandert wurde. Damit ist Lemma 1 bewiesen.

Lemma 2 Gilt INV beim Eintritt in die while-Schleife mit Valuation Z, so gilt INV auch nach Ausfuhrung des while-Blocks in der dann vorliegenden Valuation Z⁰.

Beweis:Wir berechnen zunachst, wie sich ZustandZ⁰ausZergibt und wen- den hierzu die semantische Regel fur die if-Bedingung und die sequenzielle Komposition an:

Z⁰ = [[if(max<a[i]){max=a[i];}i=i+1]](Z)

=

[[i=i+1]]([[max=a[i]]](Z)) fallsZ(max)< Z(a[Z(i)])

[[i=i+1]](Z) sonst

=

[[i=i+1]](Z⊕{max7→Z(a[Z(i)])}) fallsZ(max)< Z(a[Z(i)])

[[i=i+1]](Z) sonst

=

Z⊕{max7→Z(a[Z(i)]),i7→Z(i) +1} fallsZ(max)< Z(a[Z(i)]) Z⊕{i7→Z(i) +1} sonst

Jetzt wird gezeigt, dass INV[Z⁰/Z] gilt; und wegen der Fallunterschei- dung in der Berechnung von Z⁰ machen wir bei diesem Nachweis dieselbe Fallunterscheidung.

Fall 1:Z(max)< Z(a[Z(i)]). Wir berechnen

INV[Z⁰/Z] ≡ MAXI[Z⁰/Z]∧MAXINAI[Z⁰/Z]∧

UNCHGDI[Z⁰/Z]∧Z⁰(i)≤Z⁰(a.length) MAXI[Z⁰/Z] ≡ ∀k∈{0, . . . , Z⁰(i) −1}:Z⁰(a[k])≤Z⁰(max) MAXINAI[Z⁰/Z] ≡ ∃k∈{0, . . . , Z⁰(i) −1}:Z⁰(a[k]) =Z⁰(max) UNCHGDI[Z⁰/Z] ≡ Z⁰(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z⁰(a.length) −1:Z⁰(a[k]) =Z_Pre(a[k]))

(5)

Aus obiger Berechnung vonZ⁰ folgt, dassZ⁰(i) =Z(i) +1. Wir konnen also INV[Z⁰/Z]≡INV[Z⁰/Z][(Z(i) +1)/Z⁰(i)]

folgern, und erhalten damit

UNCHGDI[Z⁰/Z]∧Z(i) +1≤Z⁰(a.length) MAXI[Z⁰/Z] ≡ ∀k∈{0, . . . , Z(i)}:Z⁰(a[k])≤Z⁰(max)

MAXINAI[Z⁰/Z] ≡ ∃k∈{0, . . . , Z(i)}:Z⁰(a[k]) =Z⁰(max) UNCHGDI[Z⁰/Z] ≡ Z⁰(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z(a.length) −1}:Z⁰(a[k]) =Z_Pre(a[k])) Weiterhin folgt aus der Berechnung vonZ⁰, dass Arrayaund seine Lange immer noch dieselben Werte wie im ZustandZ haben. Dies resultiert in

INV[Z⁰/Z]≡INV[Z⁰/Z][(Z(i) +1)/Z⁰(i)]≡

INV[Z⁰/Z][(Z(i) +1)/Z⁰(i)][Z(a[k])/Z⁰(a[k])][Z(a.length)/Z⁰(a.length)]

Damit stellt sich die Invariante im ZustandZ⁰ folgendermaen dar:

UNCHGDI[Z⁰/Z]∧Z(i) +1≤Z(a.length) MAXI[Z⁰/Z] ≡ ∀k∈{0, . . . , Z(i)}:Z(a[k])≤Z⁰(max)

MAXINAI[Z⁰/Z] ≡ ∃k∈{0, . . . , Z(i)}:Z(a[k]) =Z⁰(max) UNCHGDI[Z⁰/Z] ≡ Z(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z(a.length) −1}:Z(a[k]) =Z_Pre(a[k])) Schlielich lesen wir aus der Berechnung vonZ⁰ab, dassZ⁰(max) =Z(a[Z(i)]) und die Ersetzung[Z(a[Z(i)])/Z⁰(max)]inINV[Z⁰/Z]fuhrt auf

UNCHGDI[Z⁰/Z]∧Z(i) +1≤Z(a.length) MAXI[Z⁰/Z] ≡ ∀k∈{0, . . . , Z(i)}:Z(a[k])≤Z(a[Z(i)])

MAXINAI[Z⁰/Z] ≡ ∃k∈{0, . . . , Z(i)}:Z(a[k]) =Z(a[Z(i)]) UNCHGDI[Z⁰/Z] ≡ Z(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z(a.length) −1}:Z(a[k]) =Z_Pre(a[k])) Jetzt sind wir in der Lage, die Gultigkeit eines jeden Konjunktes zu zeigen:

Z(i) +1≤Z(a.length)gilt, weil die while-Schleife durchlaufen wird, also zu Beginn des Durchlaufs die SchleifenbedingungZ(i)< Z(a.length) galt.

(6)

Um MAXI[Z⁰/Z]zu zeigen, zerlegen wir die Allquantikation in MAXI[Z⁰/Z]≡(∀k∈{0, . . . , Z(i) −1}:Z(a[k])≤Z(a[Z(i)]))

∧Z(a[Z(i)])≤Z(a[Z(i)])

Da die INV im Zustand Z gultig war, folgt ∀k ∈ {0, . . . , Z(i) −1} : Z(a[k])≤Z(max). Fur den aktuellen Fall 1 giltZ(max)< Z(a[Z(i)]), also folgt ∀k ∈ {0, . . . , Z(i) − 1} : Z(a[k])) ≤ Z(a[Z(i)]). Damit ist MAXI[Z⁰/Z]gultig.

MAXINAI[Z⁰/Z]gilt trivialerweise mitk=Z(i).

UNCHGDI[Z⁰/Z]gilt, weil die Bedingung in Z gultig war und das Array beim Ubergang zuZ⁰ nicht verandert wurde.

Fall 2:Z(max)≥Z(a[Z(i)]). In diesem Fall durfen wir inINV[Z⁰/Z]zuerst Z(i) +1 fur Z⁰(i) einsetzen. Weiterhin bemerken wir, dass Z⁰ ansonsten gegenuberZ⁰ unverandert ist. Folglich hatINV[Z⁰/Z]die Form

UNCHGDI[Z⁰/Z]∧Z(i) +1≤Z(a.length) MAXI[Z⁰/Z] ≡ ∀k∈{0, . . . , Z(i)}:Z(a[k])≤Z(max)

MAXINAI[Z⁰/Z] ≡ ∃k∈{0, . . . , Z(i)}:Z(a[k]) =Z(max) UNCHGDI[Z⁰/Z] ≡ Z(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z(a.length) −1}:Z(a[k]) =Z_Pre(a[k])) Z(i) +1≤Z(a.length)gilt mit demselben Argument wie in Fall 1.

MAXI[Z⁰/Z]gilt, weil es inZbereits gultig war und im Fall 2Z(max)≥ Z(a[Z(i)])gultig ist.

MAXINAI[Z⁰/Z] gilt mit demselben k ∈ {0, . . . , Z(i) −1} wie im ZustandZ vor Beginn des Schleifendurchlaufs.

UNCHGDI[Z⁰/Z] gilt nach Voraussetzung uber die Gultigkeit von INVinZ.

Damit ist das Lemma vollstandig bewiesen.

Lemma 3 Aus Gultigkeit der Invariante und aus der Schleifenbedin- gung folgt, dass die NachbedingungPOST eingehalten wird, sobald die Schleife terminiert.

Beweis:Wenn die Schleife terminiert (oder gar nicht erst durchlaufen wird), gilt im resultierenden ZustandZ_Post

(7)

Z_Post(i)≥Z_Post(a.length), denn dies ist die Negation der Schleifen- bedingung, und

INV[Z_Post/Z], denn nach Lemma 1 und 2 haben wir es mit einer Invarianten zu tun.

Wegen INV[Z_Post/Z] gilt auch Z_Post(i) ≤ Z_Post(a.length), es folgt also Z_Post(i) =Z_Post(a.length). Damit gilt also

INV[Z_Post/Z][Z_Post(a.length)/Z_Post(i)]

und dies stellt sich dar als

INV[Z_Post/Z][Z_Post(a.length)/Z_Post(i)]≡

(∀k∈{0, . . . , Z_Post(a.length) −1}:Z_Post(a[k])≤Z_Post(max))∧ (∃k∈{0, . . . , Z_Post(a.length) −1}:Z_Post(a[k]) =Z_Post(max))∧ Z_Post(a.length) =Z_Pre(a.length)∧

(∀k∈{0, . . . , Z_Post(a.length) −1}:Z_Post(a[k]) =Z_Pre(a[k]))

≡POST

Damit ist die Behauptung gezeigt.

Terminierung: Es ist zu beachten, dass die verizierte Aussage nur unter der Bedingung gilt, dass die Schleife auch tatsachlich terminiert (sogenannte partielle Korrektheit). Dietotale Korrektheiterfordert daher noch den zusatzlichen Nachweis, dass die Terminierung der obigen while-Schleife auch tatsachlich immer gesichert ist. Hierzu muss eine weitere Beweisstrategie eingesetzt werden. Das Strategieprinzip bei gegebener while-Schleife 1 while ( b(x_1,...,x_n) ) {

2 B

3 }

lautet

1. Finde eine Variable z ∈ {x₁, . . . , x_n} so dass fur jeden beliebigen Zu- standZ und eine Konstantecgilt

Z(z)> c⇒¬b(Z(x₁), . . . , Z(x_n))

2. Zeige, dass wennZ den Vorzustand von Bzu Beginn eines Schleifen- durchlaufs bezeichnet, der NachzustandZ⁰ nach Ausfuhrung vonB

Z⁰(z) = ([[B]](Z))(z)≥Z(z) +ε fur eine Konstanteε > 0erfullt.

(8)

Wennzeine ganzzahlige Variable ist, hatεden Wert 1. Bei Gleitkommava- riablenzgarantiert die Existenz vonε, dass nach endlichen vielen Schleifen- durchlaufen mit wiederholter Ausfuhrung vonBtatsachlich Z(z)> cerfullt ist und die Schleife folglich terminieren muss.

In unserem Beispielalgorithmus wahlen wir die Variable i fur den Ter- minierungsbeweis, denn oensichtlich gilt

Z(i)> Z(a.length)⇒¬(Z(i)< Z(a.length))

Die Konstantecist also hier durchc=Z(a.length)gegeben (aus der Post- condition UNCHGD wissen wir, dass Z(a.length) tatsachlich konstant ist). Der zweite Schritt des Terminierungsbeweises folgt jetzt aus der Ablei- tung (B bezeichnet den gesamten while-Block, Zeilen 11 | 14 und IB den gesamten if-Block, Zeilen 11 | 13)

Z⁰(i) = ([[B]](Z))(i)

= ([[i=i+1]]([[IB]](Z)))(i)

= ([[i=i+1]](Z))(i)

= (Z⊕{i7→Z(i) +1})(i)

= Z(i) +1

Dabei haben wir ausgenutzt, dass ([[IB]](Z))(i) = Z(i), weil der if-Block IB keine Zuweisung aufienthalt.