Korrekte Software: Grundlagen und Methoden Vorlesung 2 vom 09.04.19 Operationale Semantik

Vorlesung 2 vom 09.04.19 Operationale Semantik

Serge Autexier, Christoph Lüth

Universität Bremen

Sommersemester 2019

Fahrplan

I Einführung

I Operationale Semantik I Denotationale Semantik

I Äquivalenz der Operationalen und Denotationalen Semantik I Der Floyd-Hoare-Kalkül

I Invarianten und die Korrektheit des Floyd-Hoare-Kalküls I Strukturierte Datentypen

I Verifikationsbedingungen I Vorwärts mit Floyd und Hoare I Modellierung

I Spezifikation von Funktionen I Referenzen und Speichermodelle

I Funktionsaufrufe und das Framing-Problem I Ausblick und Rückblick

Korrekte Software 2 [26]

// GGT(A,B)

i f ( a == 0 ) r = b ; e l s e {

w h i l e ( b != 0 ) { i f ( a <= b )

b = b − a ; e l s e a = a − b ; }

r = a ; }

I Programme berechnenWerte I Basierend auf

I Werte sindVariablenzugewiesen I Evaluation vonAusdrücken I Folgt dem Programmablauf

Unsere Programmiersprache

Wir betrachten einen Ausschnitt der ProgrammierspracheC(C0).

Ausbaustufe 1 kennt folgende Konstrukte:

I Typen: int;

I Ausdrücke: Variablen, Literale (für ganze Zahlen), arithmetische Operatoren (für ganze Zahlen), Relationen (==,<, . . . ), boolsche Operatoren (&&, ||);

I Anweisungen:

I Fallunterscheidung (if. . .else. . . ), Iteration (while), Zuweisung, Blöcke;

I Sequenzierung und leere Anweisung sind implizit

Korrekte Software 4 [26]

Aexp a::=Z|Idt|a1+a2 |a1−a2 |a1∗a2 |a1/a2

Bexp b ::=1|0|a₁==a₂ |a₁<a₂|!b |b₁&&b₂ |b₁||b₂ Exp e :=a|b

Stmt c ::= Idt=Exp

| if(b) c₁ else c₂

| while (b) c

| c₁;c₂

| { }

NB: Nicht diekonkrete Syntax.

Eine Handvoll Beispiele

a = (3+ y )∗x+5∗b ; a = ((3+ y )∗x )+(5∗b ) ; a = 3+y∗x+5∗b ;

p = 1 ; c = 1 ;

w h i l e ( c <= n ) { p= p∗ c ;

c= c+ 1 ; }

Korrekte Software 6 [26]

I Die (operationale) Semantik einer imperativen Sprache wie C0 ist ein Zustandsübergang: das System hat einen impliziten Zustand, der durch Zuweisung vonWertenan Adressen geändert werden kann.

Systemzustände

I Ausdrücke werten zuWerten V(hier ganze Zahlen) aus.

I AdressenLocsind hier Programmvariablen (Namen): Loc=Idt I EinSystemzustandbildet Adressen auf Werte ab: Σ =Loc*V I Ein Programm bildet einen Anfangszustandmöglicherweiseauf einen

Endzustand ab (wenn esterminiert).

Partielle, endliche Abbildungen

Zustände sind partielle, endliche Abbildungen(finite partial maps)

f :X *A Notation:

I f(x) für den Wert von x in f (lookup) I f(x) =⊥wennx nicht inf (undefined)

I f[n/x] für den Update an der Stelle x mit dem Wertn:

f[n/x](y)=^def

( n ifx =y f(y) otherwise

I hx 7→n,y7→miu.ä. für konkrete Abbildungen.

I hiist die leere (überall undefinierte Abbildung):

hi(x) =⊥

Korrekte Software 8 [26]

Operationale Semantik: Arithmetische Ausdrücke

Ein arithmetischer Ausdruck a wertet unter gegebenen Zustandσ zu einer ganzen Zahl n (Wert) aus oder zu einem Fehler⊥.

I Aexpa::=Z|Idt|a1+a2 |a1−a2 |a1∗a2 |a1 / a2

ha, σi →_Aexp n | ⊥

hn, σi →_Aexp n x ∈Idt,x ∈Dom(σ), σ(x) =v

hx, σi →_Aexp v

x ∈Idt,x 6∈Dom(σ) hx, σi →_Aexp ⊥

Operationale Semantik: Arithmetische Ausdrücke

Ein arithmetischer Ausdruck a wertet unter gegebenen Zustandσ zu einer ganzen Zahl n (Wert) aus oder zu einem Fehler⊥.

I Aexpa::=Z|Idt|a1+a2 |a1−a2 |a1∗a2 |a1 / a2

ha, σi →_Aexp n | ⊥ Regeln:

hn, σi →_Aexp n

x ∈Idt,x ∈Dom(σ), σ(x) =v hx, σi →_Aexp v

x ∈Idt,x 6∈Dom(σ) hx, σi →_Aexp ⊥

Korrekte Software 9 [26]

Ein arithmetischer Ausdruck a wertet unter gegebenen Zustandσ zu einer ganzen Zahl n (Wert) aus oder zu einem Fehler⊥.

I Aexpa::=Z|Idt|a1+a2 |a1−a2 |a1∗a2 |a1 / a2

ha, σi →_Aexp n | ⊥ Regeln:

hn, σi →_Aexp n x ∈Idt,x ∈Dom(σ), σ(x) =v

hx, σi →_Aexp v

x ∈Idt,x 6∈Dom(σ) hx, σi →_Aexp ⊥

Operationale Semantik: Arithmetische Ausdrücke

I Aexpa::=Z|Idt|a₁+a₂ |a₁−a₂ |a₁∗a₂ |a₁ / a₂ ha, σi →_Aexp n| ⊥

ha₁, σi →_Aexp n1 ha₂, σi →_Aexp n2 ni ∈Z,n Summe n1 undn2

ha₁+a₂, σi →_Aexp n

ha₁, σi →_Aexp n₁ ha₂, σi →_Aexp n₂ falls n₁ =⊥oder n₂ =⊥ ha₁+a2, σi →_Aexp ⊥

ha₁, σi →_Aexp n1 ha₂, σi →_Aexp n2 ni ∈Z,n Diff.n1 und n2

ha₁−a₂, σi →_Aexp n

ha₁, σi →_Aexp n₁ ha₂, σi →_Aexp n₂ fallsn₁ =⊥oder n₂ =⊥ ha₁−a₂, σi →_Aexp ⊥

Korrekte Software 10 [26]

I Aexpa::=Z|Idt|a₁+a₂ |a₁−a₂ |a₁∗a₂ |a₁ / a₂ ha, σi →_Aexp n| ⊥

ha₁, σi →_Aexp n1 ha₂, σi →_Aexp n2 ni ∈Z,n Summe n1 undn2

ha₁+a₂, σi →_Aexp n

ha₁, σi →_Aexp n₁ ha₂, σi →_Aexp n₂ falls n₁ =⊥oder n₂ =⊥ ha₁+a2, σi →_Aexp ⊥

ha₁, σi →_Aexp n1 ha₂, σi →_Aexp n2 ni ∈Z,n Diff.n1 und n2

ha₁−a₂, σi →_Aexp n

ha₁, σi →_Aexp n₁ ha₂, σi →_Aexp n₂ falls n₁ =⊥oder n₂ =⊥ ha₁−a2, σi →_Aexp ⊥

Operationale Semantik: Arithmetische Ausdrücke

I Aexpa::=Z|Idt|a1+a2 |a1−a2 |a1∗a2 |a1 / a2

ha, σi →_Aexp n| ⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,nProduktn1und n2

ha1∗a2, σi →Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥oder n2=⊥ ha1∗a2, σi →Aexp⊥

ha1, σi →Aexpn₁ ha2, σi →Aexpn₂ n_i∈Z,n₂6= 0,nQuotientn₁,n₂ ha1/a2, σi →Aexp n

ha1, σi →Aexpn₁ ha2, σi →Aexpn₂ fallsn₁=⊥,n₂=⊥odern₂= 0 ha1/a2, σi →Aexp⊥

Korrekte Software 11 [26]

I Aexpa::=Z|Idt|a1+a2 |a1−a2 |a1∗a2 |a1 / a2

ha, σi →_Aexp n| ⊥

ha1, σi →Aexpn1 ha2, σi →Aexpn2 ni∈Z,nProduktn1und n2

ha1∗a2, σi →Aexpn

ha1, σi →Aexpn1 ha2, σi →Aexpn2 fallsn1=⊥oder n2=⊥ ha1∗a2, σi →Aexp⊥

ha1, σi →Aexpn₁ ha2, σi →Aexpn₂ n_i∈Z,n₂6= 0,nQuotientn₁,n₂ ha1/a2, σi →Aexp n

ha1, σi →Aexpn₁ ha2, σi →Aexpn₂ fallsn₁=⊥,n₂=⊥odern₂= 0 ha1/a2, σi →Aexp⊥

Beispiel-Ableitungen

Sei σ^def=hx 7→6,y 7→5i.

h(x+y)∗(x−y), σi →_Aexp

Korrekte Software 12 [26]

Sei σ^def=hx 7→6,y 7→5i.

hx+y, σi →Aexp hx−y, σi →Aexp

h(x+y)∗(x−y), σi →Aexp

Beispiel-Ableitungen

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6

hx+y, σi →Aexp hx−y, σi →Aexp

h(x+y)∗(x−y), σi →Aexp

Korrekte Software 12 [26]

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp 5

hx+y, σi →Aexp hx−y, σi →Aexp

h(x+y)∗(x−y), σi →Aexp

Beispiel-Ableitungen

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp 5

hx+y, σi →Aexp11 hx−y, σi →Aexp

h(x+y)∗(x−y), σi →Aexp

Korrekte Software 12 [26]

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp 5 hx−y, σi →Aexp

h(x+y)∗(x−y), σi →Aexp

Beispiel-Ableitungen

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp 5 hx−y, σi →Aexp 1 h(x+y)∗(x−y), σi →Aexp

Korrekte Software 12 [26]

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp 5 hx−y, σi →Aexp 1 h(x+y)∗(x−y), σi →Aexp11

Beispiel-Ableitungen

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp 5 hx−y, σi →Aexp 1 h(x+y)∗(x−y), σi →Aexp11

h(x∗x)−(y∗y), σi →Aexp

Korrekte Software 12 [26]

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp 5 hx−y, σi →Aexp 1 h(x+y)∗(x−y), σi →_Aexp11

hx, σi →Aexp 6 hx, σi →Aexp6 hx∗x, σi →Aexp 36 h(x∗x)−(y∗y), σi →Aexp

Beispiel-Ableitungen

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp 5 hx−y, σi →Aexp 1 h(x+y)∗(x−y), σi →_Aexp11

hx, σi →Aexp6 hx, σi →Aexp6 hx∗x, σi →Aexp36

hy, σi →Aexp5 hy, σi →Aexp 5 hy∗y, σi →Aexp25 h(x∗x)−(y∗y), σi →Aexp

Korrekte Software 12 [26]

Sei σ^def=hx 7→6,y 7→5i.

hx, σi →Aexp6 hy, σi →Aexp5 hx+y, σi →Aexp11

hx, σi →Aexp6 hy, σi →Aexp 5 hx−y, σi →Aexp 1 h(x+y)∗(x−y), σi →_Aexp11

hx, σi →Aexp6 hx, σi →Aexp6 hx∗x, σi →Aexp36

hy, σi →Aexp5 hy, σi →Aexp 5 hy∗y, σi →Aexp25 h(x∗x)−(y∗y), σi →Aexp11

Operationale Semantik: Boolesche Ausdrücke

I Bexpb::= 0|1|a₁ ==a₂ |a₁ <a₂ |!b |b₁&&b2|b₁ || b₂ hb, σi →_Bexp true|false| ⊥

Regeln:

h1, σi →_Bexptrue h0, σi →_Bexp false

ha₁, σi →_Aexp n₁ ha₂, σi →_Aexp n₂ n_i 6=⊥,n₁ und n₂ gleich ha₁ ==a2, σi →_Bexptrue

ha₁, σi →_Aexp n1 ha₂, σi →_Aexp n2 ni 6=⊥,n1 und n2 ungleich ha₁ ==a₂, σi →_Bexp false

ha₁, σi →_Aexp n₁ ha₂, σi →_Aexp n₂ n₁ =⊥ orn₂=⊥ ha₁ ==a2, σi →_Bexp ⊥

Korrekte Software 13 [26]

I Bexpb::= 0|1|a₁ ==a₂ |a₁ <a₂ |!b |b₁&&b2|b₁ || b₂ hb, σi →_Bexp true|false| ⊥

Regeln:

hb, σi →_Bexp true h!b, σi →_Bexp false

hb, σi →_Bexpfalse h!b, σi →_Bexptrue

hb, σi →_Bexp⊥ h!b, σi →_Bexp ⊥ hb₁, σi →_Bexp t₁ hb₂, σi →_Bexpt₂

hb₁&&b2, σi →_Bexpt

wobei t =true wennt1 =t2 =true;

t =false wenn t1 =false oder (t1=trueund t2 =false);

t =⊥ sonst

Operationale Semantik: Boolesche Ausdrücke

I Bexpb::= 0|1|a₁ ==a₂ |a₁ <a₂ |!b |b₁&&b2|b₁ || b₂ hb, σi →_Bexp true|false| ⊥

Regeln:

hb₁, σi →_Bexpt1 hb₂, σi →_Bexp t2

hb₁||b₂, σi →_Bexpt wobei t=false wennt₁=t₂=false;

t=truewenn t₁=trueoder (t₁ =false und t₂ =true);

t=⊥sonst

Korrekte Software 15 [26]

I Stmtc ::=Idt=Exp|if (b) c₁ else c₂|while(b)c |c₁;c₂| { } Beispiel:

hc, σi →_Stmt σ⁰ | ⊥ hx = 5, σi →_Stmt σ⁰

wobei σ⁰(x) = 5 undσ⁰(y) =σ(y) für alle y6=x

Operationale Semantik: Anweisungen

I Stmtc ::=Idt=Exp|if (b) c1 else c2|while(b)c |c1;c2| { } Regeln:

h{ }, σi →_Stmt σ ha, σi →_Aexp n∈Z

hx =a, σi →_Stmt σ[n/x]

ha, σi →_Aexp ⊥ hx =a, σi →_Stmt ⊥ hc₁, σi →_Stmt σ⁰ 6=⊥ hc₂, σ⁰i →_Stmt σ⁰⁰6=⊥

hc₁;c₂, σi →_Stmt σ⁰⁰ hc₁, σi →_Stmt ⊥ hc₁;c2, σi →_Stmt ⊥

hc₁, σi →_Stmt σ⁰ 6=⊥ hc₂, σ⁰i →_Stmt ⊥ hc₁;c₂, σi →_Stmt ⊥

Korrekte Software 17 [26]

I Stmtc ::=Idt=Exp|if (b) c₁ else c₂|while(b)c |c₁;c₂| { } Regeln:

hb, σi →_Bexptrue hc₁, σi →_Stmt σ⁰ hif(b) c₁ else c₂, σi →_Stmt σ⁰ hb, σi →_Bexpfalse hc₂, σi →_Stmt σ⁰

hif(b) c1 else c2, σi →_Stmt σ⁰ hb, σi →_Bexp⊥

hif(b) c₁ else c₂, σi →_Stmt ⊥

Operationale Semantik: Anweisungen

I Stmtc ::=Idt=Exp|if (b) c₁ else c₂|while(b)c |c₁;c₂| { } Regeln:

hb, σi →_Bexpfalse hwhile (b) c, σi →_Stmt σ

hb, σi →_Bexp true hc, σi →_Stmt σ⁰ hwhile(b) c, σ⁰i →_Stmt σ⁰⁰ hwhile (b) c, σi →_Stmt σ⁰⁰

hb, σi →_Bexptrue hc, σi →_Stmt ⊥ hwhile (b) c, σi →_Stmt ⊥

hb, σi →_Bexp⊥ hwhile(b) c, σi →_Stmt ⊥

Korrekte Software 19 [26]

x = 1 ;

w h i l e ( y != 0 ) { y = y − 1 ; x = 2 ∗ x ; }

// x = 2^y σ^def=hy7→3i

Äquivalenz arithmetischer Ausdrücke

Gegeben zwei Aexp a₁ anda₂ I Sind sie gleich?

a1∼_Aexp a2 gdw ∀σ,n.ha₁, σi →_Aexp n⇔ ha₂, σi →_Aexp n ( x∗x ) + 2∗x∗y + ( y∗y ) und ( x+y ) ∗ ( x+y )

I Wann sind sie gleich?

∀σ,n.ha₁, σi →_Aexp n⇔ ha₂, σi →_Aexp n

x∗x und 8∗x+9

x∗x und x∗x+1

Korrekte Software 21 [26]

Gegeben zwei Bexp-Ausdrückeb1 and b2

I Sind sie gleich?

b₁ ∼_Bexp b₂ iff ∀σ,b.hb₁, σi →_Bexpb ⇔ hb₂, σi →_Bexp b A | | (A && B) und A

Beweisen

Zwei Programmec0,c1 sind äquivalent gdw. sie die gleichen Zustandsveränderungen bewirken. Formal definieren wir Definition

c₀ ∼c₁ iff ∀σ, σ⁰.hc₀, σi →_Stmt σ⁰ ⇔ hc₁, σi →_Stmt σ⁰

Ein einfaches Beispiel:

Lemma

Sei w ≡while(b) c mit b∈Bexp, c ∈Stmt.

Dann gilt: w ∼if(b){c;w} else { }

Korrekte Software 23 [26]

Gegeben beliebiger Programmzustand σ. Zu zeigen ist, dass sowohl w also auchif (b) {c;w} else { } zu dem selben Programmzustand auswerten oder beide zu einem Fehler. Der Beweis geht per Fallunterscheidung über die Auswertung von Teilausdrücken bzw.

Teilprogrammen.

1 hb, σi →_Bexp⊥:

hwhile (b)c, σi →_Stmt⊥ hif(b) {c;w} else { }, σi →_Stmt ⊥

2 hb, σi →_Bexpfalse:

hwhile (b) c, σi →_Stmtσ

hif(b) {c;w} else { }, σi →_Stmth{ }, σi →_Stmt σ

Beweis II

3 hb, σi →_Bexptrue:

1 hc, σi →Stmt σ⁰

h

w

z }| {

while(b)c, σi →Stmthc, σi →Stmtσ⁰ hw, σ⁰i →_Stmt σ⁰⁰

hif(b){c;w} else { }, σi →Stmth{c;w}, σi →Stmt hc, σi →Stmt σ⁰ hw, σ⁰i →Stmt σ⁰⁰

2 hc, σi →_Stmt ⊥

h

w

z }| {

while(b)c, σi →Stmthc, σi →Stmt⊥

hif(b){c;w} else { }, σi →Stmth{c;w}, σi →Stmt hc, σi →Stmt ⊥

Korrekte Software 25 [26]

I Operationale Semantik als ein Mittel zur Beschreibung der Semantik I Auswertungsregeln arbeiten entlang der syntaktischen Struktur

I Werten Ausdrücke zu Werten aus und Programme zu Zuständen (zu gegebenen Zustand)

I Fragen zu Programmen: Gleichheit