20120309 formal semantics shilov_lecture04

Computer Science клуб - Екатеринбург
Март 2012

Fun with Formal Program Semantics
(О формальной семантике программ –
просто)
Шилов Николай Вячеславович

03/10/12 Шилов Николай Вячеславович Всего слайдов 32 1

Тема 4: Верификация программ
с точки зрения семантики
языков программирования

(на примере диалекта ToyPL)


Великие научные проблемы

• В 1980 г. премии Тьюринга был удостоен Антони
Хоар за «основополагающий вклад в
определение и разработку языков
программирования».
• По-видимому, такое признание заслуг А. Хоара
может служить весомым аргументом для того,
чтобы прислушаться к тому, что Антони Хоар
называет Великими проблемами
программирования как науки.



• По мнению А. Хоара, для того, чтобы какая-либо
научная проблема могла называться Великой, она
должна удовлетворять следующему ряду
требований:
– проблема должна носить фундаментальный
характер, её решение будет иметь прежде
всего научное значение;
– решение может иметь и прикладное значение,
но в масштабах всего человечества;



– решение проблемы может потребовать
десятилетий скоординированных усилий
учёных и коллективов мирового класса;
– есть чёткие критерии успеха или провала в
решении проблемы.



• А. Хоар приводит примеры решённых Великих
научных проблем:
– полёт человека на Луну,
– расшифровка генома человека,
– доказательство Великой теоремы Ферма.
• А в качестве примера «проваленной» Великой
научной проблемы А. Хоар приводит проблему
лечения рака: как оказалось, различных причин
развития рака слишком много, а механизмы его
развития слишком сложны для того, что бы
надеяться на панацею.


Великие проблемы программирования


Проблема верифицирующего транслятора

• Решение проблемы Верифицирующего
Транслятора может иметь огромное значение в
эпоху информационных технологий, т.к.
– проверка синтаксической правильности
программы и её трансляция в исполняемый
машинный код осуществляется полностью
автоматически,
– но этап отладки программ до сих пор плохо
автоматизирован.


Великие верифицирующего транслятора

• Воспользуемся следующим образным
сравнением Владимира Анатольевича Захарова:
– Средства отладки программы, которые
входят в состав всякой развитой системы
программирования, могут помочь
разработчику в той же мере, в какой лопата
оказывает помощь кладоискателю. Главные
вопросы - где копать и стоит ли копать
вообще?


Великие верифицирующего транслятора

– Здесь скорее пригодилось бы устройство
наподобие металлоискателя. Но хороший
металлоискатель - это тонкий инструмент,
требующий знания его устройства и умелого
обращения. Так что кроме лопаты неплохо
бы использовать и автоматические системы
поиска ошибок и проверки правильности
функционирования программ…


Неформальное введение
в формальную верификацию
• Формальная верификация – это доказательство
специфицированных программ, т.е. программ,
свойства которых специфицированы некоторым
специальным образом.
• Вычислительная программа – это программа,
которая за конечное время преобразует
начальные (входные) в заключительные
(выходные) значения.


• Для вычислительных программ используют два
вида логических спецификаций, которые
называются:
– условиями частичной корректности,
– условиями тотальной корректности.
• Эти условия имеют вид {ϕ}π{ψ} и [ϕ]π[ψ]
соответственно, где π – программа, предусловие
ϕ – это условие на входные данные, которое
требуется перед исполнением программы π, а
постусловие ψ – это условие на выходные
данные, гарантируемое после исполнения
программы π.

• Говорят, что условие частичной корректности
{ϕ}π{ψ} истинно (верно), или что программа π
частично корректна по отношению к предусловию
ϕ и постусловию ψ (обозначение |={ϕ}π{ψ}), если
на любых входных данных, которые
удовлетворяют свойству ϕ, программа π или не
останавливается (зацикливается, зависает и т.п.),
или останавливается с выходными данными,
которые удовлетворяют свойству ψ.


• Говорят, что условие частичной корректности
[ϕ]π[ψ] истинно (верно), или что программа π
частично корректна по отношению к предусловию
ϕ и постусловию ψ (обозначение |=[ϕ]π[ψ]), если
на любых входных данных, которые
удовлетворяют свойству ϕ, любое вычисление
программы π останавливается с выходными
данными, которые удовлетворяют свойству ψ.


• Таким образом, для детерминированных
программ разница между частичной и тотальной
корректностью состоит в завершаемости
программы: частичная корректность допускает
неостановку программы, а тотальная – запрещает.


• Для доказательства специфицированных
вычислительных программ существуют два
метода, разработанных Р. Флойдом в 1960-х гг.


Метод Р. Флойда
доказательства частичной корректности
// Предусловие метода.
{ {ϕ}π{ψ} – условие частичной корректности
детерминированной программы }
• Представить программу π графически в виде
блок-схемы и выбрать множество контрольных
точек (на дугах), включающее начало и конец
программы, такое, чтобы любой цикл по графу
блок-схемы содержал контрольную точку.


// Аннотация «инвариантами».
• Сопоставить началу программы предусловие ϕ,
концу программы – постусловие ψ, а каждой из
оставшихся контрольных точек – некоторое (своё)
условие «инвариант» этой точки.
• Построить множество «участков» L, состоящее из
всех невырожденных ациклических маршрутов по
графу блок-схемы программы между всеми
парами контрольных точек.


// Доказательство инвариантов.
• Для каждого участка из L доказать: если условие,
сопоставленное началу участка, верно перед
началом исполнения участка,
то условие, сопоставленное концу участка,
верно после исполнения этого участка.
// Постусловие метода.
• {|={ϕ}π{ψ}, т. е. программа π частично корректна
по отношению к предусловию ϕ и постусловию ψ}

• Заметим, что метод Р. Флойда для условий
частичной корректности не является алгоритмом,
так как он описан (по-просту говоря)
неформально, включает необходимось
придумать и доказать инварианты.
• В силу своей неформальности его корректность
неможет быть доказана (как и корректность
метода математической индукции), а только
«показана».


• Упражнение #1: Покажите, что если условие
частичной корректности верно, то всегда можно
выбрать контрольные точки и приписать им
инварианты таким образом, который гарантирует
успешное применение метода Р. Флойда.


Понятие о методе потенциалов

• Метод Р. Флойда для доказательства условий
тотальной корректности называется методом
потенциалов, он применим только к
детерминированным программам.
• Частный случай применения этого метода для
доказательства завершаемости
детерминированных программ кратко можно
описать следующим образом:



– выбирается конечное множество числовых
значений, которые называются потенциалами;
– каждому возможному набору значений
используемых переменных сопоставляется
некоторый потенциал;
– тогда, если каждое исполнение тела любого
цикла в алгоритме уменьшает значение
потенциала, то алгоритм завершает работу.



• Метод Р. Флойда тоже не является алгоритмом,
так как необходимо придумать фундированное
множество, отображение в это множество и
доказать, что потенциалы убывают в результате
выполнения циклов.
• Корректность метода потенциалов также
невозможно формально доказать, а только
неформально обосновать.


Пример Э. Дейкстры
применения метода потенциалов
• Задача начальника порта
– На рейде порта с N причалами находится ровно
N кораблей. Начальник порта получает
сообщение о штормовом предупреждении и
должен назначить каждому из кораблей его
определенный (индивидуальный) причал.
– Положения всех кораблей в момент получения
штормового предупреждения известны.
Положения причалов фиксированы и тоже
известны.


– Непосредственно в этот момент никакое
препятствие (особенности береговой линии,
расположение других причалов или положение
других кораблей на рейде) не мешает любому
из кораблей двигаться прямо к любому из
причалов.
– Во избежание столкновений маршруты
кораблей не должны пересекаться.
• Помогите начальнику порта распределить
корабли по причалам.


• Геометрическая модель проблемы – это N чёрных
и N белых точек на плоскости, соответствующих
положениям кораблей на рейде и расположению
причалов, а возможные (гипотетические)
маршруты – отрезки прямых между белыми и
чёрными точками.
• По условию задачи никакие три из этих точек не
являются коллинеарными (т. е. не лежат на одной
прямой).


• Необходимо построить (если это вообще
возможно) N попарно непересекающихся
отрезков, у каждого из которых один конец – это
некоторая белая точка, а другой – некоторая
чёрная точка.


VAR X: СОЕД;
X:= ПЕРВ ;
WHILE ¬ХОР(X) DO X := ЩЁЛК(X) OD.


• Для любого значения X типа СОЕД примем в
качестве его потенциала P(X) сумму длин
отрезков, которые входят в X: P(X)= Σ[B,W]∈X |B,W|.
• В силу неравенства треугольника |B’W”| + |B,W’|
< |B’W’| + |B,W’|.


• Поэтому
P(X) = (Σ[B,W]∈X|B,W|) =
= (|B',W'| + |B",W"|) + (Σ[B,W]∈X{[B',W'],[B",W"]} |B,W|) >
>(|B',W"| + |B",W'|) + (Σ[B,W]∈X{[B',W'],[B",W"]} |B,W|) =
= (Σ[B,W]∈ЩЁЛК(X) |B,W|) = P(ЩЁЛК(X)).
• Следовательно, согласно методу потенциалов,
программа (вернее, алгоритм) завершает свою
работу.


Метод потенциалов
доказательства завершаемости
• Упражнение #2: Покажите, что если
детерминированный алгоритм (программа)
завершается, то всегда можно выбрать
потенциальную функцию, которая гарантирует
успешное применение метода потенциалов.


20120309 formal semantics shilov_lecture04

More Related Content

What's hot (20)

Viewers also liked (20)

Similar to 20120309 formal semantics shilov_lecture04 (20)

More from Computer Science Club (20)

20120309 formal semantics shilov_lecture04