Operationale vs. denotationale Semantik

Korrekte Software: Grundlagen und Methoden Vorlesung 4 vom 24.04.18: Äquivalenz der Operationalen und

Denotationalen Semantik

Serge Autexier, Christoph Lüth Universität Bremen Sommersemester 2018

11:50:49 2018-06-05 1 [14]

Fahrplan

I Einführung

I Operationale Semantik I Denotationale Semantik

I Äquivalenz der Operationalen und Denotationalen Semantik I Die Floyd-Hoare-Logik

I Invarianten und die Korrektheit des Floyd-Hoare-Kalküls I Strukturierte Datentypen

I Modellierung und Spezifikation I Verifikationsbedingungen I Vorwärts mit Floyd und Hoare I Funktionen und Prozeduren I Referenzen

I Ausblick und Rückblick

Korrekte Software 2 [14]

Operationale vs. denotationale Semantik

Operationalha, σi →Aexpn DenotationalA[[a]]

m∈Z hm, σi →Aexpm {(σ,m)|σ∈Σ}

x∈Loc x∈Dom(σ)

hx, σi →_Aexpσ(x) {(σ, σ(x))|σ∈Σ,x∈ Dom(σ)}

a1◦a2

ha1, σi →Aexpn ha2, σi →_Aexpm

n,m6=⊥

ha1◦a2, σi →Aexpn◦^Im {(σ,n◦^Im)|σ∈Σ,(σ,n)∈ A[[a1]],(σ,m)∈ A[[a2]]}

ha1, σi →Aexpn ha2, σi →Aexpm n=⊥oderm=⊥ ha1◦a2, σi →Aexp⊥

◦ ∈ {+,∗,−}

Korrekte Software 3 [14]

Operationale vs. denotationale Semantik

Operationalha, σi →_Aexpn DenotationalA[[a]]

a1/a2

ha1, σi →Aexpn ha2, σi →Aexpm m6= 0 m,n6=⊥

ha₁◦a2, σi →_Aexpn◦^Im {(σ,n/m)|σ∈Σ,(σ,n)∈ A[[a1]],(σ,m)∈ A[[a2]],m6=

0}

ha₁, σi →_Aexpn ha2, σi →Aexpm n=⊥,m=⊥oderm= 0

ha1/a2, σi →Aexp⊥

Korrekte Software 4 [14]

Äquivalenz operationale und denotationale Semantik

I Für allea∈Aexp, für allen∈Z, für alle Zuständeσ:

ha, σi →_Aexpn⇔(σ,n)∈ A[[a]]

ha, σi →_Aexp⊥ ⇔σ6∈Dom(A[[a]])

I Beweis Prinzip?per struktureller Induktion übera. (Warum?)

Korrekte Software 5 [14]

Operationale vs. denotationale Semantik

Operationalhb, σi →Bexp0|1 DenotationalB[[b]]

1 h1, σi →_Bexp1 {(σ,1)|σ∈Σ}

0 h0, σi →_Bexp0 {(σ,0)|σ∈Σ}

Korrekte Software 6 [14]

Operationale vs. denotationale Semantik

Operat.hb, σi →Bexp0|1 DenotationalB[[b]]

a0==a1

ha0, σi →Aexpn ha₁, σi →_Aexpm n,m6=⊥ n=m ha₀==a1, σi →_Bexp1

ha0, σi →Aexpn ha1, σi →Aexpm n,m6=⊥ n6=m ha0==a1, σi →Bexp0

ha0, σi →_Aexpn ha1, σi →Aexpm n=⊥oderm=⊥ ha0==a1, σi →Bexp⊥

{(σ,1)|σ∈Σ, (σ,n0)∈ A[[a0]], (σ,n1)∈ A[[a₁]], n0=n1}

∪

{(σ,0)|σ∈Σ, (σ,n0)∈ A[[a0]], (σ,n1)∈ A[[a₁]], n06=n1}

a1<=a2 analog

Korrekte Software 7 [14]

Operationale vs. denotationale Semantik

Operationalha, σi →_Bexpb DenotationalB[[b]]

b1&&b0

hb₁, σi →_Bexp0

hb1&&b2, σi →0 {(σ,0)|(σ,0)∈ B[[b₁]]}

hb₁, σi →_Bexp1 hb2, σi →Bexpb

hb₁&&b2, σi →b {(σ,b)|(σ,1)∈ B[[b1]],(σ,b)∈ B[[b2]]}

hb1, σi →Bexp⊥ hb1&&b2, σi → ⊥

b1||b₂ analog

!n . . .

Korrekte Software 8 [14]

Äquivalenz operationale und denotationale Semantik

I Für alleb∈Bexp, für allet∈B, for alle Zuständeσ:

hb, σi →_Bexpt⇔(σ,t)∈ B[[b]]

hb, σi →_Bexp⊥ ⇔σ6∈Dom(B[[b]])

I Beweis Prinzip?per struktureller Induktion überb(unter Verwendung der Äquivalenz für AExp). (Warum?)

Korrekte Software 9 [14]

Operationale vs. denotationale Semantik

Operational hc, σi →Stmtσ⁰|⊥

DenotationalC[[c]]

{ } h{}, σi →_Stmtσ C[[{ }]] =Id

c1;c2

hc1, σi →Stmtσ⁰6=⊥ hc2, σ⁰i →_Stmtσ⁰⁰ hc1;c2, σi →Stmtσ⁰⁰

hc1, σi →_Stmt⊥ hc1;c2, σi →Stmt⊥

C[[c₂]]◦ C[[c₁]]

x=a ha, σi →Aexpn hx=a, σi →_Stmtσ[n/x]

ha, σi →_Aexp⊥ hx=a, σi →_Stmt⊥

{(σ, σ[n/x])|(σ,n)∈ A[[a]]}

Korrekte Software 10 [14]

Operationale vs. denotationale Semantik

Operational hc, σi →Stmtσ⁰|⊥

DenotationalC[[c]]

if(b)c0

hb, σi →_Bexp1 hc0, σi →Stmtσ⁰

hc, σi →_Stmtσ⁰ hb, σi →Bexp⊥ hc, σi →_Stmt⊥

{(σ, σ⁰)|(σ,1)∈ B[[b]],(σ, σ⁰)∈ C[[c0]]}

elsec1

hb, σi →Bexp0 hc1, σi →Stmtσ⁰

hc, σi →Stmtσ⁰ {(σ, σ⁰)|(σ,0)∈ B[[b]],(σ, σ⁰)∈ C[[c₁]]}

Korrekte Software 11 [14]

Operationale vs. denotationale Semantik

Operational hc, σi →Stmtσ⁰|⊥

DenotationalC[[c]]

while(b)c

| {z }

w

hb, σi →Bexp0 hw, σi →Stmtσ

hb, σi →Bexp⊥ hw, σi →Stmt⊥

hb, σi →_Bexp1 hc, σi →_Stmtσ⁰6=⊥ hw, σ⁰i →_Stmtσ⁰⁰ hw, σi →Stmtσ⁰⁰

fix(Γ)

hb, σi →_Bexp1 hc, σi →_Stmt⊥ hw, σi →_Stmt⊥ mit

Γ(ϕ) = {(σ, σ⁰)|(σ,1)∈ B[[b]],(σ, σ⁰)∈ϕ◦ C[[c]]}

∪{(σ, σ)|(σ,0)∈ B[[b]]}

Korrekte Software 12 [14]

Äquivalenz operationale und denotationale Semantik

I Für allec∈Stmt, für alle Zuständeσ, σ⁰: hc, σi →Stmtσ⁰⇔(σ, σ⁰)∈ C[[c]]

hc, σi →Stmt⊥ ⇒σ6∈Dom(C[[c]])

I ⇒Beweis Prinzip?per Induktion über die Ableitung in der operationalen Semantik (Warum?)

I ⇐Beweis Prinzip?per struktureller Induktion überc(Verwendung der Äquivalenz für arithmetische und boolsche Ausdrücke). Für die While-Schleife Rückgriff auf Definition des Fixpunkts und Induktion über die Teilmengen Γⁱ(∅) des Fixpunkts. (Warum?)

I Gegenbeispiel für⇐in der zweiten Aussage: wählec≡while(1){}:

C[[c]] =∅aberhc, σi →Stmt⊥gilt nicht (sondern?).

Korrekte Software 13 [14]

Fahrplan

I Einführung

I Operationale Semantik I Denotationale Semantik

I Äquivalenz der Operationalen und Denotationalen Semantik I Die Floyd-Hoare-Logik

I Invarianten und die Korrektheit des Floyd-Hoare-Kalküls I Strukturierte Datentypen

I Modellierung und Spezifikation I Verifikationsbedingungen I Vorwärts mit Floyd und Hoare I Funktionen und Prozeduren I Referenzen

I Ausblick und Rückblick

Korrekte Software 14 [14]