Mathematische Modellierung, operationelle Semantik und Veri kation von Listen in Java

(1)

Mathematische Modellierung, operationelle Semantik und Verikation von Listen in Java

Jan Peleska Universitat Bremen

FB 3 - Informatik

AG Betriebssysteme und verteilte Systeme jp@tzi.de

19. Januar 2009

Zusammenfassung

Wir beschreiben ein mathematisches Modell fur den abstrakten Da- tentyp der Listen. Auf diesem Modell werden die typischen Operatio- nen zum sinnvollen Gebrauch von Listen zunachst abstrakt als mathematische Abbildungen deniert. Am Beispiel der einfach verketteten Listen in Java werden dann konkrete Listen durch eine Abstraktions- funktion ihrem mathematischen Gegenstuck zugeordnet. Die bereits eingefuhrte operationelle Java-Semantik fur atomare Datentypen, Zu- weisungen und Kontrollstrukturen wird um rekursive Datentypen und den new-Operator erweitert, so dass sich damit die operationelle Se- mantik konkreter Listenoperationen bestimmen lasst. Am Beispiel der delete()-Operation demonstrieren wir, wie man einen Verfeinerungs- beweis der Art \konkrete Listenoperation ist korrekte Implementie- rung der zugehorigen abstrakten Operation" durchfuhrt.

Inhaltsverzeichnis

1 Endliche Folgen 2

2 Ein mathematisches Listenmodell 4

3 Verkettete Listen in Java und ihre operationelle Semantik 7 4 Abstraktionsfunktion f¨ur doppelt verkettete Listen 13 5 Verfeinerungsbeweise f¨ur Listenoperationen 15

(2)

1 Endliche Folgen

Fur eine gegebene MengeT (wir bezeichnen diese im folgenden als Daten- typ) deniert

T^∗ ={h i}∪{f:{1, . . . , n}−→T | n∈N}

die Menge aller endlichen Folgen uber T. Dabei bezeichnet h i die leere Folge, formal mit der leeren Abbildung identizierbar. Der Denitionsbe- reich einer nicht leeren Folge f { diesen bezeichnet man ublicherweise mit dom(f), also dom(f) = {1, . . . , n} in der obigen Denition { ist also immer ein endlicher, bei 1 beginnender Abschnitt der naturlichen Zahlen. Die Lange einer Folgef wird mit #fbezeichnet und ist durch die Kardinalitat des Denitionsbereichs { alsonin der obigen Notation { gegeben:

#f=card(dom(f))

Anstelle der Funktionsnotation wird { da der Denitionsbereich immer der Abschnitt1, . . . ,\Lange der Folge" der naturlichen Zahlen ist { haug die Aufzahlung der Bildwerte unter f gewahlt: Ist f(1) = y₁, . . . , f(n) = y_n, notieren wir die Folge fdurch

f=hy₁, . . . , y_ni

Mitf₁ _f₂ wird die Konkatenation der Folgenf_i:{1, . . . n_i}−→T, i= 1, 2, n_i=#f_i bezeichnet:

dom(f₁_f₂) ={1, . . . , n₁+n₂} (f₁_f₂)(i) =

f₁(i) fallsi∈{1, . . . , n₁}

f₂(i−n₁) fallsi∈{n₁+1, . . . , n₁+n₂} Bei einer nicht leeren Folge fbezeichnet

head(f) =f(1) das erste Element, last(f) =f(#f)das letzte Element,

tail(f) =hf(2), . . . , f(#f)idie Folge, welche ausfdurch Entfernen des ersten Elementes entsteht.

Oenbar gilt fur nicht leere Folgenf

f=hhead(f)i_tail(f)

(3)

Die Menge aller in der Folge f enthaltenen Elemente (also das Bild unter der Funktionf) bezeichnen wir mit ran(f) (\Range of function f"). Bei- spielsweise ist

ran(ha, a, a, b, c, c, d, ei) ={a, b, c, d, e}

Da Elemente mehrfach in einer Folge auftreten duerfen, ist die Kardinalitat des Bildbereichs kleiner oder gleich der Folgenlange:

card(ran(f))≤#f

(4)

2 Ein mathematisches Listenmodell

In mathematischen Einfuhrungen werden Listen haug einfach mit endlichen Folgen gleichgesetzt. Fur die leicht verstandliche Einfuhrung vieler Operationen auf Listen, welche deren Elemente nacheinander, der Listen- sortierung folgend, bearbeiten, ist es jedoch sinnvoll, eine Liste als ein Fol- genpaar (f₁, f₂) darzustellen: Folgef₁ bezeichnet dabei den \bereits bearbeiteten Teil der Liste", Folge f₂ den \noch zu bearbeitenden Teil der Liste". Das aktuelle Element der Liste, welches eine Read-Operation aus- liest oder eine Delete-Operation loscht, ist gerade das letzte Element von f₁, d. h. last(f₁) = f₁(#f₁). Das als nachstes zu bearbeitende Element"

der Liste ist f₂(1) = head(f₂). Nach der Bearbeitung dieses Elementes ist danntail(f₂) der weiterhin zu bearbeitende Rest. Dies fuhrt uns dazu, die Menge aller Listen uber dem Datentyp T als

List(T) =T^∗×T^∗

zu denieren. Mit diesem mathematische Modell werden jetzt die typischen Listenoperationen als Funktionen eingefuhrt. Um diese von den konkreten im unten genannten Java-Beispielprogramm denierten Methoden zu unterscheiden, benutzen wir fur diese Funktionen die Namenskonvention name_A(), wobei das \A" fur \abstrakte Funktion" steht.

Die Append-Funktion hangt ein neues Element hinter dem aktuellen Element ein, falls der bearbeitete Teil nicht leer ist. In jedem Fall wird das mitappend_A eingefugt Element das nachste zu bearbeitende:

append_A:List(T)×T −→List(T);

((f₁, f₂), x)7→(f₁,hxi_f₂)

Die Insert-Funktion fugt ein neues Elementxvor dem aktuellen Element ein, falls dieses existiert. Wenn der bearbeitete Teil leer ist, wird das neue Element per Konvention als das letzte der gesamten Liste eingehangt:

insert_A:List(T)×T −→List(T);

((f₁ _hyi, f₂), x)7→(f₁ _hx, yi, f₂) ((h i, f₂), x)7→(h i, f₂_hxi)

Funktion length ermittelt die Lange einer Liste:

length_A :List(T) −→N (f₁, f₂)7→(#f₁+#f₂) Funtion isEmpty pruft, ob die Liste leer ist:

isEmpty_A:List(T) −→B (f₁, f₂)7→(length_A(f₁, f₂) =0)

(5)

Funktion next setzt das aktuelle Element auf das erste des bisher noch nicht bearbeiteten Listenteils um. Der noch zu bearbeitende Listenteil wird ent- sprechend um dieses Element verkurzt. Ist der noch zu bearbeitende Listen- teil leer, wird per Konvention wieder das erste Listenelement als aktuelles Element verwendet:

next_A:List(T) −→List(T) (f₁,hxi_f₂)7→(f₁_hxi, f₂) (hxi_f₁,h i)7→(hxi, f₁) (h i,h i)7→(h i,h i)

Die read-Funktion ist partiell auf allen Listen deniert, deren bearbeiteter Teil nicht leer ist. Sie gibt den Wert des aktuellen Elements x zuruck. Der noch zu bearbeitende Teil wird hierdurch nicht verandert:

read_A :List(T)6−→T; (f₁_hxi, f₂)7→x

Die delete-Funktion loscht das aktuelle Element. Existiert dieses nicht, weil der bearbeitete Teil der Liste leer ist, ist die Funktion wirkungslos:

delete_A :List(T) −→List(T);

(f₁ _hxi, f₂)7→(f₁, f₂) (h i, f₂)7→(h i, f₂)

Die cat-Funktion konkateniert zwei Listen. Dabei wird der bereits bearbeitete Teil der ersten Liste auch der bearbeitete Teil der neuen Liste:

cat_A:List(T)×List(T) −→List(T);

((f₁, f₂),(g₁, g₂))7→(f₁, f₂_g₁_g₂)

Die push-Operation fugt ein Element an den Listenanfang, d. h. vor einem bei nicht leerer Liste vorhandenen ersten Element ein. Das eingefugte Element wird das neue aktuelle Element.

push_A:List(T)×T −→List(T);

((f₁, f₂), x)7→(hxi, f₁ _f₂)

Funktion top gibt das erste Element einer nicht leeren Liste zuruck, ohne den noch zu bearbeitenden Teil zu verandern; dies lasst sich oensichtlich durch rewind und read denieren:

top_A:List(T)6−→T; (hxi_f₁, f₂)7→x

Funktion pop hat den selben Ruckgabewert wie top, loscht aber gleichzeitig das gelesene Element aus der Liste.

pop_A:List(T)6−→List(T)×T; (hxi_f₁, f₂)7→

((hhead(f₁ _f₂)i, tail(f₁ _f₂)), x) Fallsf₁ _f₂ 6=h i

((h i,h i), x) Fallsf₁ _f₂ =h i

(6)

Hinweis: Listen, auf denen nur mit den Funktionen push, pop, top ope- riert wird, heissen auch Stapel (eng. Stacks).

(7)

3 Verkettete Listen in Java und ihre operationelle Semantik

Ziel dieses Abschnitts ist, die bereits eingefuhrte operationelle Java-Sematik fur atomare Datentypen, Zuweisungen und Kontrollstrukturen auf rekursive Datentypen zu erweitern, so dass sich die Semantik von Listenoperationen, in denen Java-Referenzen auf Nachfolger- und ggf. Vorgangerelemente verwendet werden erklaren lasst. Die illustrierenden Beispiele in diesem Ab- schnitt beziehen sich auf das Programm

http://www.informatik.uni-bremen.de/agbs/lehre/ws0809/

./pi1/hintergrund/listen/MyList.java

das doppelt ringverkettete Listen und zugehorige Operationen realisiert.

Zur Erinnerung: Ein Programmzustand ist eine partielle Abbildung σ:V6−→D

die jedem im aktuellen Scope denierten Variablensymbolx∈Veinen Wert σ(x) ∈ D(x) zuordnet, wobei D(x) der Datentyp ist, welcher x bei seiner Deklaration zugeordnet wurde. MengeDist die Vereinigung aller dieser Da- tentypen, zusammen mit dem Symbol⊥, welches den undenierten Zustand einer deklarierten Variable darstellt, der noch kein Wert zugewiesen wurde.

Wie in der Vorlesung eingefuhrt, werden verkettete Listen mit Hilfe rekursiver Datentypen eingefuhrt; in Java sind dies Klassen, die wiederum Komponenten (in Java Feldelemente genannt) vom selben Klassentyp enthalten. Betrachten wir hierzu die Deklaration fur doppelt verkettete Listen- elemente aus o. g. Beispielprogramm:

class Rlist {

// Referenz auf das Listenelement:

String data;

// Rekursiver Verweis auf ein Element vom // Typ class Rlist, d.h. Verweis

// auf das n¨achste Listenelement.

Rlist n;

// Verweis auf Vorgaenger Rlist p;

}

Feldelement n ist eine Referenz auf ein Element des gerade deklarierten Klassentyps Rlist. Eine Deklaration

Rlist nde;

(8)

auf dem Stack der gerade ausgefuhrten Methode im Vorzustand σ₁ fuhrt dazu, dass das Symbol nde in den Denitionsbereich des neuen Zustands aufgenommen wird: Der Nachzustand dieser Deklaration ist

σ₂ =σ₁⊕{nde7→⊥}

Mit den elementaren Operationen konnen wir jetzt nur noch die Nullreferenz zuweisen: durch die Anweisung

nde = null;

verandert sich der Zustand in

σ₃=σ₁⊕{nde7→null}

Ein echtes Objekt vom Klassentyp Rlist muss in Java mit Hilfe desnew- Operators erzeugt werden, etwa durch die Anweisung

nde = new Rlist();

Die damit verbundene Allokation eines neuen Objektes vom Klassentyp Rlist im Speicher hat zur Folge, dass damit gleich mehrere neue Symbole in den Denitionsbereichs des Nachzustandes aufgenommen werden, denn man kann jetzt auf die Symbole nde.data und nde.next zugreifen. Wei- terhin wird eine neue Objektreferenz, also eine neue Adresse im virtuellen Java-Adressraum erzeugt, die auf das neu erzeugt Objekt zeigt und der Re- ferenzvariablenndezugewiesen wird. Die Menge aller denierten Objektre- ferenzen bezeichnen wir mit dem Hilfssymbol Ref, welches wir als Element der Symbolmenge V ansehen. Da der new-Operator alle Feldelemente mit Defaultwerten vorbelegt, fuhrt diese Anweisung auf einen Nachzustandσ₄, der

σ₃⊕{nde.data7→null, nde.n7→null, nde.p7→null}⊆σ₄∧

(∃r∈N:σ₄(nde) =r∧r /∈σ₃(Ref)∧σ₄(Ref) =σ₃(Ref)∪{r}) (1) erfullt. Da der Wert der Objektreferenz nicht vorhergesagt werden kann, konnen wir nur die oben gemachte Existenzaussage treen:

Die neue Referenz ist eine naturliche Zahl.

Die neue Referenz wurde vorher { das heisst im Zustand σ₃ { noch nicht benutzt.

Dienew-Operation erzeugt genau eine neue Referenz¹.

1Die Situation wird komplexer, wenn nicht der Defaultkonstruktor, sondern spezielle Konstruktoren verwendet werden, die ihrerseits wieder dennew-Operator verwenden.

(9)

Die neue semantische Komplexitatsstufe, welche durch rekursive Da- tentypen eingefuhrt wird, zeigt sich, wenn Objektinstanzen solcher Typen auf sich gegenseitig verweisen: Es werden durch bestimmte Zuweisungen plotzlich konzeptuell unendliche viele neue Symbole erzeugt! Betrachte hierzu die Anweisungsfolge

1 Rlist l = new Rlist();

2 l.n = l;

3 l.p = l;

aus der Methodepublic static List rlCreate(): Nach der new-Anweisung in Zeile 1 konnen nach den oben gegebenen Regeln fur den new-Operator Zuweisungen auf l.n, l.p erfolgen. Anwendung der Zuweisungsregel auf Zeilen 2 und 3 impliziert, dassσ(l.n) =σ(l) undσ(l.p) =σ(l) gelten, also sind auchl.n.n, l.n.p, l.p.n, l.p.p deniert und so weiter.

Die prazise Denition, welche Symbole jetzt tatsachlich im Denitions- bereich von σ liegen, erfolgt uber den Begri der Abgeschlossenheit von Mengen.

Abgeschlossenheit von Mengen: Gegeben sei eine MengeD, sowie(n+

1)-stellige Relationen (nhangt von Rab) R⊆D| ×. . .{z ×D}

n+1

Eine TeilmengeB⊆Dheisst abgeschlossen unter den Relationen R, wenn fur alleRgilt:

∀b₁, . . . , b_n∈B, b_n+1 ∈D: (b₁, . . . , b_n, b_n+1)∈R =⇒ b_n+1 ∈B

Abschlussoperator: Wir konnen umgekehrt zu einer bliebigen Teilmen- ge B ⊆ D und gegebenen (n+1)-stelligen Relation R ∈ K den Abschluss Closure_K(B) von Bbzgl. Kdenieren: Betrachte hierzu die Kollektion aller MengenS⊆D, welche folgenden beiden Bedingungen erfullen:

1. B⊆S

2. Fur alleR∈ Kgilt b₁, . . . , b_n∈ S∧b_n+1 ∈ D∧(b₁, . . . , b_n, b_n+1) ∈ R =⇒ b_n+1 ∈S

Dann denieren wir

Closure_K(B) =\ S

Die die Relationen R enthaltende Menge K heisst die erzeugende Menge vonClosure_K(B).

(10)

Abschlussoperator f¨ur einfach verkettete Listen: Die oben allge- mein eingefuhrte Abschlussoperation wenden wir jetzt konkret auf doppelt verkettete Listen an. Unsere Rsind jetzt zweistellige Relationen auf Varia- blensymbolen. Naturlich hangen diese Relationen vom Programmzustand ab, denn der deniert ja, welche Objekte aktuell im Zugri liegen; daher schreiben wirR(σ)⊂V×V und denieren

R₀(σ) = {(l, l.n) | l∈dom(σ)∧σ(l)∈Ref∧D(l) =Rlist} (2) R₁(σ) = {(l, l.p) | l∈dom(σ)∧σ(l)∈Ref∧D(l) =Rlist} (3) R₂(σ) = {(l, l.data) |l∈dom(σ)∧σ(l)∈Ref∧D(l) =Rlist} (4) Die RelationR₀(σ)assoziiert also zu jedem denierten Symbol, welches vom ListenknotentypRlistist, und dem eine gultige Objektreferenzlmitσ(l)∈ Ref (alsoσ(l) 6∈{⊥, null}) ein neues Symbol, welches durch Anhangen des Suxes .n entsteht. Analog assoziiert R₁ zu jeder gultige Objektreferenz l das neue Symboll.p undR₂ das neue Symbol l.data.

Nun fordern wir fur jeden gultigen Programmzustand σ, dass dieser immer bzgl.K(σ) ={R₀(σ), R₁(σ), R₂(σ)} abgeschlossen sein muss:

dom(σ) =Closure_K(σ)(dom(σ)) (5) Zu beachten ist dabei, dass wir zwar in einem Programmzustand un- endlich viele Symbole, aber nur endlich viele Objekte haben konnen, auf welche diese Symbole zeigen. Wenn zwei Symbole auf das selbe Listenele- ment zeigen, mussen ihre Referenzen auf Nutzdaten und Vorganger- bzw.

Nachfolgerelemente selbstverstandlich wieder auf das selbe Listenelement oder beide aufnull zeigen. Dies fuhrt zur letzten Wohldeniertheitsbedin- gung fur einen gultigen Programmzustandσ:

∀l₁, l₂∈dom(σ) :D(l₁) =D(l₂) =Rlist∧σ(l₁) =σ(l₂)6=null

=⇒ σ(l₁.data) =σ(l₂.data)∧σ(l₁.n) =σ(l₂.n)∧σ(l₁.p) =σ(l₂.p) (6) Auch diese Konsistenzbedingunge lasst sich wieder durch einen Abschluss- operator denieren: Wir wahlen hierzu drei 3-stellige Relationen

R₃(σ) ⊆ (V×Ref)×(V×Ref)×(V×(Rlist∪{null})) (7) R₄(σ) ⊆ (V×Ref)×(V×Ref)×(V×(Rlist∪{null})) (8) R₅(σ) ⊆ (V×Ref)×(V×Ref)×(V×(Object∪{null})) (9)

(11)

die folgendermaen deniert sind:

R₃(σ) = {(l₁ 7→r₁, l₂ 7→r₂, l₂.n7→m) | l_i7→r_i∈σ∧ (10) r_i∈Ref, i=1, 2∧r₁ =r₂∧m=σ(l₁.n)} (11) R₄(σ) = {(l₁ 7→r₁, l₂ 7→r₂, l₂.p7→m) | l_i7→r_i∈σ∧ (12) r_i∈Ref, i=1, 2∧r₁ =r₂∧m=σ(l₁.p)} (13) R₅(σ) = {(l₁ 7→r₁, l₂ 7→r₂, l₂.data7→o) | l_i7→r_i∈σ∧ (14) r_i∈Ref, i=1, 2∧r₁ =r₂∧o=σ(l₁.data)} (15) Mit L(σ) = {R₃(σ), R₄(σ), R₅(σ)} lasst sich (6) damit aquivalent durch die Forderung

σ=Closure_L(σ)(σ) (16)

ausdrucken.

Werden in einem Java-Programm andere rekursive Datentypen verwendet, mussen die beiden Forderungen aus (5) und (16) um entsprechende RelationenR(σ) und Konsistenzbedingungen erweitert werden.

Wir fuhren zu gegebener Funktionσ:V 6−→Ddaher den Abschlussope- rator C ein: C(σ) ist die kleinste Funktion, welche folgende Eigenschaften erfullt:

dom(C(σ)) = Closure_K(dom(C(σ))) (17)

C(σ) = Closure_L(C(σ)) (18)

Mit diesem Abschlussoperator kann die semantische Regel fur Variablen- zuweisung, welche bei atomaren Datentypen bekanntlich

[[x=e]](σ) =σ⊕{x7→σ(e)} lautet, fur Variablenl von rekursivem Datentyp zu

[[l=e]](σ) =C(σ⊕{l7→σ(e)}) (19) verallgemeinert werden.

Die oben beschriebenen theoretischen Sachverhalte lassen sich informell folgendermaen zusammenfassen. Gegeben sei dazu eine beliebige Klasse, die nur Feldelemente enthalt.

class C { T1 x1; ...; Tn xn; } 1. Operation C c = new C();

erweitert den Denitionsbereich des Vorzustandsσum die Sym- bolec, c.x₁, . . . , c.x_n,

(12)

erweitert σ um ein Argument 7→ Bildwert Paar c 7→ r, wobei r∈Neine bisher noch nicht verwendete Referenz ist,

erweitert σum die Argument 7→ Bildwert Paare

c.x₁ 7→init₁, . . . , c.x_n7→init_n, welche allen Feldelementen typ- gemae Initialwerte zuordnen: Fur Klassentypennull, fur Zahlen 0bzw. 0.0, fur Boolsche Wertefalse.

2. Induktive Regel 1: Wenn Symbol z im Denitionsbereich von σ enthalten und vom KlassentypCist undσ(z)6=nullgilt, sind immer auchz.x₁, . . . , z.x_nin dom(σ) enthalten.

3. Induktive Regel 2:Wenn Symbolez, wim Denitionsbereich vonσ enthalten und vom Klassentyp C sind und σ(z) = σ(w) 6= null gilt, haben alle Feldwerte dieselbe Valuation:

∀i∈{1, . . . , n}:σ(z.x_i) =σ(w.x_i)

Notation f¨ur n-fache Anwendung der Nachfolgeroperation: Da im folgenden haug eine mehrfache Anwendung der .n-Referenzierung erfor- derlich ist, denieren wir

η:V×N0 −→V η(x, 0) =x

η(x, k) =η(x, k−1).n furk > 0 Furk > 0 ist also

η(x, k) =x .n. . . . .n| {z }

k

Analog denieren wir die mehrfache Anwendung der.p-Referenzierung:

π:V×N0−→V π(x, 0) =x

π(x, k) =π(x, k−1).pfur k > 0

(13)

4 Abstraktionsfunktion f¨ ur doppelt verkettete Li- sten

Nach den Ausfuhrungen des vorigen Abschnitts konnen wir jetzt fur eine gegebene doppelt verkettete Java-Liste aus Programm MyList.java eine Abstraktionsfunktion αin das zugehorige mathematische Listenmodell ge- ben. Diese Abstraktionsfunktion hangt naturlich vom aktuellen Programm- zustandσab. Da unsere Java-Listenklassen Nutzdaten aus Stringreferen- zieren, ist das mathematische Modell uber dem selben Typ deniert:

α_σ :V6−→List(String)

Die Abstraktionsfunktion kann nur diejenigen Symbole auf eine mathematische Liste abbilden, die vom Typ class Rlistsind und eine gultige Ob- jektreferenz sowie weitere Wohlgeformtheitsbedingungen in Bezug auf die Ringverkettung darstellen. Im Detail lauten diese Bedingungen folgendermaen:

∀σ∈V 6−→D, l∈V : l∈dom(α_σ) ⇐⇒

D(l) =Rlist∧

null6∈{σ(l), σ(l.n), σ(l.p)} ∧

(σ(l.n) =σ(l) =⇒ σ(l.p) =σ(l)∧σ(l.data) =null)∧ (σ(l.p) =σ(l) =⇒ σ(l.n) =σ(l)∧σ(l.data) =null)∧ (∃m∈N0 :σ(η(l, m).data) =null)∧

(∀m∈N:σ(l.data) =null∧σ(η(l, m).data) =null =⇒ σ(l) =σ(η(l, m)))∧

(∀m∈N:σ(l.data) =null∧σ(π(l, m).data) =null =⇒ σ(l) =σ(π(l, m)))∧

(∀m∈N:σ(η(l, m−1)) =σ(η(l, m).p))∧ (∀m∈N:σ(π(l, m−1)) =σ(π(l, m).n))

(20)

(14)

Mit dieser Festlegung des Denitionsbereichs konnen wir jetzt furl∈dom(α_σ) den Funktionswert explizit angeben:

α_σ(l) =











(h i,h i)

fallsσ(l.n) =σ(l)

(h i,hσ(η(l, k).data) | k∈{1, . . . , max−1}i)

fallsσ(l.data) =null∧σ(η(l, max)) =σ(l)∧max≥2 (hσ(η(l, k).data) | k∈{2, . . . , max}i,h i)

fallsσ(l.n.data) =null∧σ(η(l, max)) =σ(l)∧max≥2 (hσ(η(l, k).data) | k∈{m₀, . . . , max}i,

hσ(η(l, k).data) | k∈{1, . . . , m₀−2}i)

fallsσ(η(l, m₀−1).data) =null∧σ(η(l, max)) =σ(l)∧ m₀≥3∧m₀ ≤max

(21)

(15)

5 Verfeinerungsbeweise f¨ ur Listenoperationen

In diesem Abschnitt soll die Konstruktion von Verfeinerungsbeweisen erlautert werden, welche zeigen, dass eine konkrete Listenoperation { beispielsweise die aus dem o. g. Java-Beispielprogramm { korrekte Implementierungen der zugehorigen abstrakten mathematisch denierten Listenoperationen sind.

Wir illustrieren den Verfeinerungsbeweis am Beispiel der abstrakten und konkreten delete-Funktionen:

Korrektheitsbedingungen f¨ur rlDel(): Fur alle Programmzustande σ₁ gilt: Wenn l ∈ dom(α_σ₁), dann gilt auch fur den Nachzustand σ₂ = [[rlDel(l)]](σ₁) der Operationsausfuhrung rlDel(l);l∈dom(α_σ₂); und es gilt weiterhin

α_σ₂(l) =delete_A(α_σ₁(l))

Beweis: Betrachte im gegebenen Vorzustandσ₁ den Programmcode von public static boolean rlDel(Rlist l)²:

1 if ( l.data == null ) return;

2 l.n.p = l.p;

3 l.p.n = l.n;

Fur die Anwendung der bekannten semantischen Regeln[[P]](σ) =σ⁰ wahlen wir die Bezeichnung P(n, m) fur die Zeilenabschnitte n bis m im obigen Code, sowie P(n) fur die Bezeichnung einer einzelnen Zeile: Der gesamte Code derrlDel()-Funktion wird also mitP(1, 3)bezeichnet, undP(3)steht furl.p.n = l.n;

Die Spezikation von inα_σ₁in (21) legt nahe, beim Beweis fur die mittels rlDel()zu bearbeitende Liste l 4 Falle zu unterscheiden:

1. Die Liste ist leer:α_σ₁(l) = (h i,h i)

2. Der bearbeitete Teil der Liste ist leer, der noch nicht bearbeitete ist aber nicht leer:

α_σ₁(l) = (h i,hσ₁(η(l, k).data) | k∈{1, . . . , max−1}i)

3. Der bearbeitete Teil der Liste ist nicht leer, der noch nicht bearbeitete ist leer:

α_σ₁(l) = (hσ₁(η(l, k).data)| k∈{2, . . . , max}i,h i)

2Der im Original-Quellcode enthaltene Sanity Check wurde hier zur Steigerung der

Ubersichtlichkeit weggelassen.

(16)

4. Der unbearbeitete Teil der Liste sowie der bearbeitete Teil sind beide nicht leer:

α_σ₁(l) = (hσ₁(η(l, k).data)| k∈{n₀, . . . , max}i, hσ₁(η(l, k).data) | k∈{1, . . . , m₀−2}i)

mit geeignetem max, m₀ > 0 wie oben fur α_σ speziziert. In jedem Fall konnen wir fordern, dass l im Vorzustand σ₁ wohlgeformt ist, d. h. alle logischen Bedingungen fur die Elemente aus dom(α_σ₁) erfullt.

Fall 1.: Aus der Denition vonα_σ₁ folgt fur α_σ₁(l) = (h i,h i):σ₁(l.n) = σ₁(l). Aus der Wohlgeformtheitsbedingung (20) folgt hierausσ₁(l.data) = null. Wir konnen direkt aus Zeile 1 ablesen (Anwendung der if-Regel), dass damit die Methode sofort mittels return verlassen wird; die Liste bleibt also unverandert. Das entspricht genau dem Funktionswert der abstrakten Funktiondelete_A(h i,h i), wie aus obiger Denition vondelete_A abzulesen ist.

Fall 2.: In diesem Fall ist der bearbeitete Teil der Liste leer, und es gilt σ₁(l.data) =null. Genau wie im Fall 1 verlassen wir die Methode mittels return, ohne die Liste zu verandern. Dies entspricht wieder dem denierten oben Verhalten vondelete_A(h i, f₂).

Fall 3. α_σ₁(l) = (hσ₁(η(l, k).data) | k ∈{1, . . . , max−1}i,h i): Aus (21) folgt in diesem Fallσ₁(l.n.data) =null∧σ₁(η(l, max)) =σ₁(l)∧max≥2. Aus (20) folgtσ₁(l.data)6=null, denn nur das Ankerelement darf eine Null- Referenz auf die.data-Komponente besitzen. Damit konnen wir berechnen:

[[P(1, 3)]](σ₁) = [[P(2, 3)]](σ₁) =

[[P(3)]](C(σ₁⊕{l.n.p7→σ₁(l.p)})) =

C(σ₁⊕{l.n.p7→σ₁(l.p), l.p.n7→σ₁(l.n)}) =_defσ₂

(22)

Wir mussen jetzt folgendes zeigen:

1. Die Liste ist nach der Ausfuhrung von rlDel(l)noch wohldeniert:

σ₂(l.p) genugt den Bedingungen von (21)

2. Das beim Aufruf verwendete aktuelle Element lwird durch den Auf- ruf von rlDel(l) geloscht, und das neue aktuelle Element ist l.p: α_σ₂(l.p) = (hσ₁(η(l, k).data) |k∈{1, . . . , max−2}i,h i)

Dazu unterscheiden wir 2 Unterfalle:

(17)

Fall 3.1 σ₁(l.p) =σ₁(l.n). Dieser Fall kann nur furmax=2auftreten, die Liste bestand also vor Aufruf vonrlDel(l)nur aus einem Element. Aus der abstraktendelete_A-Operation folgern wir, dass die Liste nach Operations- ausfuhrung leer sein musste. Wir zeigen, dass tatsachlichσ₂(l.p) = (h i,h i) gilt:

Im Fall 3 gilt σ₁(l.n.data) =null, fur den Unterfall 3.1 gilt zusatzlich σ₁(l.p) = σ₁(l.n). Damit ist l₀ = σ₁(l.p) = σ₁(l.n) das Ankerelement der Liste. Unter Verwendung der Wohldeniertheitsbedingung fur gultige Pro- grammzustande (6) konnen wir die Ableitung (22) jetzt in Hinblick auf l₀ erweitern: Aus der durch den Abschlussoperator garantierten Wohldeniert- heitsbedingung (e2) folgt ausσ₁(l.p) =σ₁(l₀) und σ₂(l.p.n) =σ₁(l₀) auch σ₂(l₀.n) = σ₁(l₀), und aus σ₁(l.n) = σ₁(l₀) und σ₂(l.n.p) = σ₁(l₀) auch σ₂(l₀.p) =σ₁(l₀):

[[P(1, 3)]](σ₁) = [[P(2, 3)]](σ₁) =

[[P(3)]](C(σ₁⊕{l.n.p7→σ₁(l₀)})) =

C(σ₁⊕{l.n.p7→σ₁(l₀), l.p.n7→σ₁(l₀)}) =

C(σ₁⊕{l.n.p7→σ₁(l₀), l.p.n7→σ₁(l₀), l₀.p7→σ₁(l₀), l₀.n7→σ₁(l₀)})

=_defσ₂

(23) Das Ankerelementl₀ der Liste erfullt folglich σ₂(l₀) =σ₂(l₀.p) =σ₂(l₀.n). Damit reprasentiert das Ankerelement laut (21) eine leere Liste.

Fall 3.2 σ₁(l.p) 6= σ₁(l.n). In diesem Fall ist max > 0. Weiterhin gilt jedochσ₁(l.n.data) =null,σ₁(l.n)zeigt also wieder auf das Ankerelement l₀. Wir wiederholen mit diesem Wissen analog zu 3.1 die Ableitung (22):

[[P(1, 3)]](σ₁) = [[P(2, 3)]](σ₁) =

[[P(3)]](C(σ₁⊕{l.n.p7→σ₁(l.p)})) =

C(σ₁⊕{l.n.p7→σ₁(l.p), l.p.n7→σ₁(l.n)}) =

C(σ₁⊕{l.n.p7→σ₁(l.p), l.p.n7→σ₁(l₀), l₀.p7→σ₁(l.p)}) =

=_defσ₂

(24)

Da die Liste den Wohldeniertheitsbedingungen (20) im Zustandσ₁genugte, gilt dies auch noch furl.p inσ₂, denn laut (24), denn:

1. Die ersten 4 Bedingungen gelten trivialerweise weiter.

2. (∃m∈N0 :σ₂(η(l.p, m).data) =null)gilt mitm=1, dennσ₂(l.p.n) = σ₁(l₀), undl₀ ist das Ankerelement.

(18)

3. Da inσ₁ nur ein Ankerelement existierte und durchrlDel()kein neues Element eingekettet wurde und keine.data-Komponente verandert wurde, gilt die Eindeutigkeit des Ankerelementesl₀ auch weiterhin.

4. (∀m ∈ N : σ₂(η(l.p, m − 1)) = σ₂(η(l.p, m).p)) gilt aus folgenden Grunden:

σ₂(η(l.p, 0)) =σ₁(η(l.p, 0)) =σ₂(l₀.p)σ₂(η(l.p, 1).p)), dennσ₂(l.p.n) = σ₁(l₀) = σ₂(l₀). Da sich nur l.p.n ind l₀.p und ihre syntaktischen

Aquivalente beim Ubergang von σ₁ nach σ₂ verandert haben, ist damit alles gezeigt.

5. Analog gilt auch weiter(∀m∈N:σ₂(π(l, m−1)) =σ₂(π(l, m).n)). Da inσ₁(η(l, max)) =σ₁(l)galt,ldann ausgekettet wurde und wie eben gezeigt die Verkettung immer noch korrekt ist, mussσ₂(η(l.p, max−1)) = σ₂(l.p) gelten. Damit folgt

α_σ₂(l.p) = (hσ(η(l.p, k).data) | k∈{2, . . . , max−1}i,h i) was zu zeigen war.

Fall 4. verlauft analog zu den Fallen 2 und 3. Damit ist der Beweis abge-

schlossen.