Praktische Informatik 3: Funktionale Programmierung Vorlesung 9 vom 11.12.2018: Signaturen und Eigenschaften

(1)

Christoph Lüth

Universität Bremen

Wintersemester 2018/19

(2)

Organisatorisches

I Anmeldung zurProbeklausur:

I Ab sofort auf der stud.ip-Seite.

I BisDo 12:00

I Termin: Montag, 17.12.2018 10:00 (pünktlich) und 10:30

I Ort: Testzentrum des ZMML, neben der Uni-Bücherei auf dem Boulevard

I Dauer: 30 Minuten

I Inhalt: zwei kleine Funktionen implementieren, vier M/C-Fragen

(3)

Fahrplan

I Teil I: Funktionale Programmierung im Kleinen

I Teil II: Funktionale Programmierung im Großen

I Abstrakte Datentypen

I Signaturen und Eigenschaften

I Teil III: Funktionale Programmierung im richtigen Leben

(4)

Abstrakte Datentypen und Signaturen

I Letzte Vorlesung:Abstrakte Datentypen

I TypplusOperationen

I Heute:Signaturen und Eigenschaften

Definition (Signatur)

DieSignatur eines abstrakten Datentyps besteht aus den Typen, und der Signatur der darüber definierten Funktionen.

I Keine direkte Repräsentation in Haskell

I Signatur:Typeines Moduls

(5)

Endliche Abbildung: Signatur

I Adressenund Wertesind Parameter

I TypMapα β, Operationen:

data Mapα β empty :: Map α β

lookup :: Ord α⇒ α→ Mapα β→ Maybe β i n s e r t :: Ord α⇒ α→ β→ Mapα β→ Mapα β delete :: Ord α⇒ α→ Mapα β→ Mapα β

(6)

Signatur und Eigenschaften

I Signatur genug, um ADTtypkorrekt zu benutzen

I InsbesondereAnwendbarkeitundReihenfolge

I Signatur beschreibt nicht dieBedeutung(Semantik):

I Waswirdgelesen?

I Wieverhältsich die Abbildung?

I Signatur istSprache(Syntax) um Eigenschaftenzu beschreiben

(7)

Eigenschaften Endlicher Abbildungen

1 Aus derleerenAbbildung kann nichtsgelesen werden.

2 Wenn etwasgeschrieben wird, und an dergleichen Stelle wieder gelesen, erhalte ich den geschriebenen Wert.

3 Wenn etwasgeschrieben wird, und an andererStelle etwas gelesen wird, kann das Schreiben vernachlässigt werden.

4 An dergleichen Stelle zweimal geschrieben überschreibt der zweite den ersten Wert.

5 An unterschiedlichen Stellengeschriebenkommutiert.

(8)

Formalisierung von Eigenschaften

Definition (Axiome)

Axiome sindPrädikate über denOperationen der Signatur

I ElementarePrädikate P:

I Gleichheit s == t

I Ordnung s < t

I Selbstdefinierte Prädikate

I ZusammengesetztePrädikate

I Negationnot p

I Konjunktionp && q

I Disjunktionp | | q

I Implikationp =⇒ q

(9)

Axiome als Interface

I Axiome müssengelten

I füralleWerte der freien Variablen zuTrue auswerten

I Axiomespezifizieren:

I nach außen dasVerhalten

I nach innen dieImplementation

I Signatur+ Axiome=Spezifikation

Speziﬁkation

Implementation Nutzer

rich thin interface

(10)

Axiome für Map

I Lesenaus leerer Abbildung undefiniert:

lookup a (empty :: Map Int String ) == Nothing

I Lesenan vorher geschriebener Stelle liefert geschriebenen Wert: lookup a ( i n s e r t a v ( s :: Map Int String )) == Just v lookup a ( delete a ( s :: Map Int String )) == Nothing

I Lesenan anderer Stelle liefert alten Wert:

a6= b =⇒ lookup a ( delete b s ) == lookup a ( s :: Map Int String )

I Schreibenan dieselbe Stelle überschreibt alten Wert:

i n s e r t a w ( i n s e r t a v s ) == i n s e r t a w ( s :: Map Int String )

I Schreibenüber verschiedene Stellen kommutiert: a6= b =⇒ i n s e r t a v ( delete b s ) ==

delete b ( i n s e r t a v s :: Map Int String )

I Sehrviele Axiome (insgesamt 13)!

(11)

Axiome für Map

I Lesenan vorher geschriebener Stelle liefert geschriebenen Wert:

lookup a ( i n s e r t a v ( s :: Map Int String )) == Just v lookup a ( delete a ( s :: Map Int String )) == Nothing

(12)

Axiome für Map

(13)

Axiome für Map

(14)

Axiome für Map

I Schreibenüber verschiedene Stellen kommutiert:

a6= b =⇒ i n s e r t a v ( delete b s ) ==

(15)

Axiome für Map

a6= b =⇒ i n s e r t a v ( delete b s ) ==

(16)

Thin vs. Rich Interfaces

I Benutzersicht:reiches Interface

I Viele Operationen und Eigenschaften

I Implementationssicht:schlankes Interface

I Wenig Operation und Eigenschaften

I BeispielMap:

I Rich interface:

i n s e r t :: Ord α⇒ α→ β→ Mapα β→ Map α β delete :: Ord α⇒ α→ Mapα β→ Map α β

I Thin interface:

put :: Ord α⇒ α→ Maybe β→ Mapα β→ Mapα β

I Thin-to-rich:

i n s e r t a v = put a ( Just v) delete a = put a Nothing

(17)

Axiome für Map (thin interface)

I Lesenan vorher geschriebener Stelle liefert geschriebenen Wert: lookup a (put a v ( s :: Map Int String )) == v

I Lesenan anderer Stelle liefert alten Wert: a 6= b =⇒ lookup a (put b v s ) ==

lookup a ( s :: Map Int String )

put a w (put a v s ) == put a w ( s :: Map Int String )

I Schreibenüber verschiedene Stellen kommutiert: a 6= b =⇒ put a v (put b w s ) ==

put b w (put a v s :: Map Int String )Thin: 5 Axiome Rich: 13 Axiome

(18)

Axiome für Map (thin interface)

lookup a (put a v ( s :: Map Int String )) == v

I Lesenan anderer Stelle liefert alten Wert: a 6= b =⇒ lookup a (put b v s ) ==

(19)

Axiome für Map (thin interface)

a 6= b =⇒ lookup a (put b v s ) ==

(20)

Axiome für Map (thin interface)

(21)

Axiome für Map (thin interface)

a 6= b =⇒ put a v (put b w s ) ==

(22)

Axiome für Map (thin interface)

a 6= b =⇒ put a v (put b w s ) ==

put b w (put a v s :: Map Int String )

Thin: 5 Axiome Rich: 13 Axiome

(23)

Axiome für Map (thin interface)

a 6= b =⇒ put a v (put b w s ) ==

(24)

Axiome als Eigenschaften

I Axiome könnengetestetoderbewiesen werden

I Tests findenFehler, Beweis zeigtKorrektheit

E. W. Dijkstra, 1972

Program testing can be used to show the presence of bugs, but never to show their absence.

I Artenvon Tests:

I Unit tests(JUnit, HUnit)

I Black Boxvs.White Box

I Coverage-based(z.B. path coverage, MC/DC)

I ZufallsbasiertesTesten

I Funktionale Programme eignen sichsehr gut zum Testen

(25)

Zufallsbasiertes Testen in Haskell

I Werkzeug:QuickCheck

I Zufällige Werteeinsetzen, Auswertung auf Trueprüfen

I Polymorphe Variablen nichttestbar

I Deshalb Typvariableninstantiieren

I Typ muss genug Element haben (hierMap Int String)

I Durch SignaturTypinstanz erzwingen

I Freie Variablender Eigenschaft werden Parameterder Testfunktion

(26)

Axiome mit QuickCheck testen

I Für das Lesen:

prop1 :: TestTree

prop1 = QC. testProperty "read_empty" $ λa→

lookup a (empty :: Map Int String ) == Nothing prop2 :: TestTree

prop2 = QC. testProperty "lookup_put␣eq" $ λa v s→

I Hier: Eigenschaften alsHaskell-Prädikate

I QuickCheck-Axiome mitQC. testProperty in Tasty eingebettet

I Es werdenN Zufallswerte generiert und getestet (DefaultN = 100)

(27)

Axiome mit QuickCheck testen

I BedingteEigenschaften:

I A =⇒BmitA,BEigenschaften

I Typ ist Property

I Es werden solange Zufallswerte generiert, bisN die Vorbedingung erfüllende gefunden und getestet wurden, andere werden ignoriert.

prop3 :: TestTree

prop3 = QC. testProperty "lookup_put␣other " $ λa b v s→

(28)

Axiome mit QuickCheck testen

I Schreiben:

prop4 :: TestTree

prop4 = QC. testProperty "put_put␣eq" $ λa v w s→

I Schreibenan anderer Stelle:

prop5 :: TestTree

prop5 = QC. testProperty "put_put␣other " $ λa v b w s→

a 6= b =⇒ put a v (put b w s ) ==

put b w (put a v s :: Map Int String )

I Test benötigtGleichheit und Zufallswerte fürMap a b

(29)

Zufallswerte selbst erzeugen

I Problem:Zufällige Werte vonselbstdefinierten Datentypen

I Gleichverteiltheitnicht immer erwünscht (z.B. [α])

I Konstruktionnicht immer offensichtlich (z.B.Map)

I InQuickCheck:

I Typklasse class Arbitrary αfürZufallswerte

I EigeneInstanziierungkann Verteilung und Konstruktion berücksichtigen instance (Ord a , QC. Arbitrary a , QC. Arbitrary b)⇒

QC. Arbitrary (Map a b) where

I Bspw.KonstruktioneinerMap:

I Zufällige Länge, dann aus sovielen zufälligen WertenMapkonstruieren

I Zufallswerte in Haskell?

(30)

Beobachtbare und Abstrakte Typen

I BeobachtbareTypen: interne Struktur bekannt

I Vordefinierte Typen (Zahlen,Zeichen), algebraische Datentypen (Listen)

I Viele Eigenschaften und Prädikate bekannt

I AbstrakteTypen: interne Struktur unbekannt

I Wenige Eigenschaften bekannt, Gleichheit nur wenn definiert

I BeispielMap:

I beobachtbar: Adressen und Werte

I abstrakt: Speicher

(31)

Beobachtbare Gleichheit

I Auf abstrakten Typen: nurbeobachtbare Gleichheit

I Zwei Elemente sindgleich, wenn alle Operationen die gleichen Werte liefern

I BeiImplementation: Instanz fürEq(Ordetc.) entsprechend definieren

I Die Gleichheit==muss diebeobachtbareGleichheit sein.

I AbgeleiteteGleichheit (deriving Eq) wird immerexportiert!

(32)

Signatur und Semantik

Stacks Typ: St α Initialwert:

empty :: St α Wert ein/auslesen:

push :: α→ St α→ St α top :: St α→ α

pop :: St α→ St α Last in first out (LIFO).

Queues Typ:Qu α Initialwert:

empty :: Quα Wert ein/auslesen:

enq :: α→ Quα→ Qu α f i r s t :: Qu α→ α deq :: Qu α→ Qu α First in first out (FIFO)

Gleiche Signatur, unterscheidliche Semantik.

(33)

Eigenschaften von Stack

I Last in first out (LIFO):

top (push a1 (push a2 . . . (push an empty))) =a1

top (push a s ) == a pop (push a s ) == s push a s 6= empty

(34)

Eigenschaften von Stack

I Last in first out (LIFO):

top (push a1 (push a2 . . . (push an empty))) =a1

top (push a s ) == a pop (push a s ) == s push a s 6= empty

(35)

Eigenschaften von Queue

I First in first out (FIFO):

f i r s t (enq a₁ (enq a₂ . . . (enq a_nempty))) = a_n

f i r s t (enq a empty) == a

q 6= empty =⇒ f i r s t (enq a q) == f i r s t q deq (enq a empty) == empty

q 6= empty =⇒ deq (enq a q) = enq a (deq q) enq a q 6= empty

(36)

Eigenschaften von Queue

I First in first out (FIFO):

f i r s t (enq a₁ (enq a₂ . . . (enq a_nempty))) = a_n

f i r s t (enq a empty) == a

q 6= empty =⇒ f i r s t (enq a q) == f i r s t q deq (enq a empty) == empty

q 6= empty =⇒ deq (enq a q) = enq a (deq q) enq a q 6= empty

(37)

Implementation von Stack: Liste

Sehr einfach: ein Stack ist eine Liste

data St α= St [α] deriving (Show, Eq) empty = St [ ]

push a (St s ) = St (a : s )

top (St [ ] ) = er ro r "St : ␣top␣on␣empty␣stack "

top (St s ) = head s

pop (St [ ] ) = er ro r "St : ␣pop␣on␣empty␣stack "

pop (St s ) = St ( t a i l s )

(38)

Implementation von Queue

I Mit einerListe?

I Problem: am Ende anfügen oder abnehmen ist teuer.

I DeshalbzweiListen:

I Erste Liste: zuentnehmende Elemente

I Zweite Liste:hinzugefügteElementerückwärts

I Invariante: erste Liste leer gdw. Queue leer

(39)

Repräsentation von Queue

Operation Resultat Interne Repräsentation

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(40)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(41)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(42)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(43)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(44)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(45)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(46)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(47)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(48)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(49)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(50)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(51)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(52)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(53)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(54)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(55)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(56)

Repräsentation von Queue

empty h i ([], [])

enq 9 h9i ([9], [])

enq 4 h4→9i ([9], [4])

enq 7 h7→4→9i ([9], [7, 4])

f i r s t 9

deq h7→4i ([4, 7], [])

enq 5 h5→7→4i ([4, 7], [5])

enq 3 h3→5→7→4i ([4, 7], [3, 5])

f i r s t 4

deq h3→5→7i ([7], [3, 5])

f i r s t 7

deq h3→5i ([5, 3], [])

f i r s t 5

deq h3i ([3], [])

f i r s t 3

deq h i ([], [])

f i r s t er ro r

deq er ro r

(57)

Implementation

I Datentyp:

data Qu α= Qu [α] [α]

I Leere Schlange: alles leer

empty = Qu [ ] [ ]

I Erstes Element steht vorne in erster Liste f i r s t :: Qu α→ α

f i r s t (Qu [ ] _) = er ro r "Queue: ␣ f i r s t ␣of␣empty␣Q"

f i r s t (Qu (x : xs ) _) = x

I Gleichheit:

v a l i d :: Qu α→ Bool

v a l i d (Qu [ ] ys ) = n u l l ys v a l i d (Qu (_:_) _) = True

(58)

Implementation

I Beienq und deq Invariante prüfen enq x (Qu xs ys ) = check xs (x : ys )

deq (Qu [ ] _ ) = er ro r "Queue: ␣deq␣of␣empty␣Q"

deq (Qu (_: xs ) ys ) = check xs ys

I Prüfung der Invariantenachdem Einfügen und Entnehmen

I check garantiertInvariante check :: [α]→ [α]→ Qu α

check [ ] ys = Qu ( reverse ys ) [ ] check xs ys = Qu xs ys

(59)

Zusammenfassung

I Signatur: Typ und Operationen eines ADT

I Axiome: über Typen formulierte Eigenschaften

I Spezifikation= Signatur + Axiome

I Interfacezwischen Implementierung und Nutzung

I Testenzur Erhöhung der Konfidenz und zum Fehlerfinden

I Beweisender Korrektheit

I QuickCheck:

I Freie Variablen der Eigenschaften werdenParameterder Testfunktion

I =⇒für bedingteEigenschaften