Teil X. Programmverifikation. Spezifikation eines Algorithmus einer Funktion einer Prozedur. Vorbedingungen Parameter Wertebereiche

Transkript

1 Teil X Programmverifikation STRUKTURIERTES PROGRAMMIEREN Vorlesung im Wintersemester 2018 Prof. E.G. Schukat-Talamazzini Stand: 1. August 2018 Robert W Floyd Sir Charles Antony Richard Hoare *1934 Spezifikation eines Algorithmus einer Funktion einer Prozedur Vorbedingungen Parameter Wertebereiche START Bindungen Verletzung? garbage in garbage out Ausnahme/Abbruch Nachbedingungen Resultate (Neben-) ZIEL wirkungen Terminierung? Ziel wird unbedingt erreicht Ziel wird ggf. erfüllt reellwertige Quadratwurzel ganzzahlige Quadratwurzel Vorbedingung x IR, x 0 x Z, x 0 Nachbedingung r 2 = x, r 0 r 2 x < (r + 1) 2 Diese VB/NB sind effektiv überprüfbar!

2 Zusicherungen und ihre Gültigkeit Logische wenn/dann-beschreibung für Zustandsübergänge Definition Ist S eine Anweisung und sind B und C boolesche Ausdrücke, so heißt B S C eine Zusicherung für S mit der Vorbedingung B und der Nachbedingung C. Die Zusicherung heißt gültig, wenn für alle Belegungen β mit definiertem Nachfolgezustand β = I [S] (β) gilt: { Bedingung B gilt vor S I β [B] = L I β [C] = L { Bedingung C gilt nach S "vorher" Vor/Nachbedingungen und Zustandsmengen Logische Äquivalenz: B {β I β [B] = L 2 4 β 5 Z β Zusicherung als Zustandsraumbeschreibung Die Nachbedingung C ist im Bild als Menge von Zuständen dargestellt. Für C sind die folgenden Mengen (Prädikate) gültige Vorbedingungen: {β 2, β 3, β 4, {β 1, β 2, β 3, β 4, {β 1, β 5, { ungültige Vorbedingungen: {β 1, β 2, β 3, β 4, β 5, β 6 gültige und terminierende Vorbedingungen: {β 2, β 3, β 5, {β 2 C Z "nachher" Partielle und totale Korrektheit Eigenschaft einer Anweisung relativ zur Spezifikation Definition Es seien S eine Programmanweisung und B V, B N die Vor- bzw. Nachbedingungen der Spezifikation. Dann heißt S partiell korrekt für die Spezifikation, wenn die Zusicherung B V S B N gültig ist. S heißt total korrekt, wenn zusätzlich gilt: I β [B V ] = L I [S] (β) Partiell K. Ergebnis NB richtig Total K. VB richtig Ergebnis Geschäftsmodell: Verkaufe nichtterminierende Programme!

3 Klassischer Korrektheitstest Aufgabenstellung y = f (x 1,..., x n ) mit Programmcode S und Spezifikation B V S B N Algorithmus 1 ARGUMENTKONFIGURATION Erzeuge nächste Argumentliste (ξ 1,..., ξ n ) 2 VORBEDINGUNGSTEST Wenn B V false, so 1 3 BERECHNUNG Berechne y = f (ξ 1,..., ξ n ) durch S-Ausführung 4 TERMINIERUNGSTEST Wenn y, so 1 5 NACHBEDINGUNGSTEST Wenn B N true, so 1 6 TESTENDE Melde Programm S ist nicht partiell korrekt Algorithmus Terminierung Mit Garantie nur bei endlichem Aufgabenbereich Falsifizierer Andernfalls Beendigung nur mit negativem Bescheid Totaler Test In Schritt 4 nach Schritt 6 statt 1 gehen Vom Test zur Verifikation Fakt Ist der Argumentebereich unendlich oder astronomisch groß, so muss die Korrektheit bewiesen statt getestet werden. Floydsche Methode Verifikation einfacher Laufschleifen Nachweis lediglich der partiellen Korrektheit Erweiterung auf einfache Flussdiagramme Definition (Schleifeninvariante) Ein Prädikat J heißt Schleifeninvariante der Wiederholungsanweisung while (B) S, wenn die Zusicherung J B S J gültig ist. Folgerung (Schleifenzusicherung) Es gilt dann auch die Zusicherung J while(b) S J B. Ganzzahlige Quadratwurzelberechnung Vorbedingung x 0 Nachbedingung r 2 x < (r + 1) 2 code int wurzel (int x) { int r = 0; int y = 1; int z = 1; while (y <= x) { r += 1; z += 2; y += z; return r; Schleifenverifikation Vor der Schleife J(x, 0, 1, 1) gilt, da 0 2 x aus B V folgt. Während der Schleife J B S J Aus J(x, r, y, z) und y x folgt J(x, r, y, z ) Nach der Schleife J B r 2 x < y = (r + 1) {{ 2 z = 2r + 1 B Schleifeninvariante J(x, r, y, z) (r 2 x) (y = (r + 1) 2 ) (z = 2r + 1) J Beweis der Schleifeninvariante Iterationsidee Erzeuge Tupel (r, y) mit y = (r + 1) 2 für alle r IN bis irgendwann einmal y > x gilt. Für den Nachfolger y von y gilt y = (r + 1) 2 = ((r + 1) + 1) 2 = y + 2 (r + 1) + 1, {{ z denn mit der Bezeichnung z = 2r + 1 gilt z = 2r + 1 = 2 (r + 1) + 1 = z + 2 Beweis. Zu zeigen: J(x, r, y, z ) (r 2 x ) {{ J 1 (y = (r + 1) 2 ) {{ J 2 J 1: Wegen (r + 1) 2 = y x (nach J 2 und B) gilt r 2 x. (z = 2r + 1) {{ J 3 J 2: y = y + z = y + z + 2 = (r + 1) 2 + (2r + 1) + 2 = (r + 2) 2 = (r + 1) 2 J 3: z = z + 2 = (2r + 1) + 2 = 2(r + 1) + 1 = 2r + 1

4 Zusicherungskalkül Von der kreativen Kopfarbeit zum automatischen Beweis Floyd-Beweis Verifikation beruht auf dem Erlassen von Zusicherungen und dem Beweis ihrer Gültigkeit diese ist jedoch durch eine Allaussage über Programmzustände definiert! Hoare-Kalkül Statt komplizierter semantischer Gültigkeitsbeweise werden syntaktische Regeln gecheckt diese Arbeit kann uns auch eine Maschine abnehmen. Hoares Methode Automatischer Gültigkeitsbeweis für eingestreute Zusicherungen Zusicherungsaxiome für elementare Anweisungen Ableitungsregeln für komplexe Anweisungen Abschwächungsregeln für Sequenzmontage Kalkül hilft nicht beim Auffinden geeigneter Zusicherungen! Zusicherungsaxiome Leere Anweisung nichtterminierende Anweisung Zuweisung Rechenregeln für Zusicherungen I Fallhöhenanpassung bei der Montage sukzessiver Zusicherungen LEERAKTION B { B ABBRUCH B throw err; false ZUWEISUNG B[E/x] x = E; B Zustandserhaltung Es ist β = I [S] (β) = β und damit gilt I β [B] = I β [B]. Terminiert niemals Es ist stets β = und die Implikation ist wegen falscher Prämisse immer trivialerweise erfüllt. Gültig, weil... aus β = β[e/x] auch I β [B[E/x]] = I β [B] folgt. 1: x-a=b y=a; x-y=b 2: x+1=a x=x+1; x=a ABSCHWÄCHUNGSREGEL Die B B, B S C, C C { Vorbedingung darf durch Nachbedingung Auf Grund der Voraussetzungen B S C { stärkere Prämisse schwächere Konsequenz ersetzt werden. Zuweisungsaxiom x 2 = a 2 x = x*x; x = a 2 Implikation I x = a x 2 = a 2 Implikation II x = a 2 x 0 gilt die doppelt abgeschwächte Zusicherungsaussage x = a x = x*x; x 0

5 Hintereinanderausführung zweier Anweisungen Nach der Anweisung ist vor der Anweisung KOMPOSITIONSREGEL B 1 S 1 C und C S 2 B 2 B 1 S 1 S 2 B 2 Anweisung I x + 1 = a x = x+1; x = a Anweisung II 2x = 2a x = 2*x; x = 2a Abschwächung (x = a) (2x = 2a) Anweisungsblöcke erhalten die Zusicherung ihres Innenlebens, falls keine Namenskonflikte auftreten BLOCKBILDUNGSREGEL Falls x nicht in B 1 vorkommt: Positivbeispiel B 1 S B 2 B 1 { type x=e; S B 2 a 0 x = a; y = 2*x; y 0 a 0 { double x; x = a; y = 2*x; y 0 Negativbeispiel Resultat x + 1 = a x = x+1; x = 2*x; x = 2a x 0 y = 2*x; y 0 x 0 { double x=6-9; y = 2*x; y 0 Kontrollverzweigung erhält gemeinsame VB/NB ihrer Anweisungszweige und sogar mehr als das! BEDINGTE ANWEISUNG Falls boolescher Ausdruck C effektiv auswertbar (I β [C] ): C B 1 S 1 B 2 und C B 1 S 2 B 2 B 1 if (C) S 1 else S 2 B 2 Zweig I x > 0 x = a y = +x; x = a y = a Zweig II x 0 x = a y = -x; x = a y = a Satz (Verträglichkeit) Rechenregeln für Zusicherungen II Für jede Anweisung S und alle booleschen Ausdrücke B i, C i gelten die beiden Axiome B 1 S true und false S B 2 sowie die Verträglichkeitsregeln B 1 S C 1 und B 2 S C 2 B 1 B 2 S C 1 C 2 für die logische Konjunktion und Resultat x = a if (x>0) y = +x; else y = -x; x = a y = a für die logische Disjunktion. B 1 S C 1 und B 2 S C 2 B 1 B 2 S C 1 C 2

6 Beweis. Zum Beweis der Konjunktionsformel gehen wir von Zuständen β und β = I [S] (β) aus und setzen die Vorbedingung als wahr voraus: I β [B 1 B 2 ] = L Nach Definition der Interpretationsfunktion folgt daraus I β [B 1 ] = I β [B 2 ] = L und auf Grundlage der gegebenen Zusicherungen des Zählers gilt I β [C 1 ] = I β [C 2 ] = L. Erneute Verwendung des Aufbaus der Interpretation liefert schließlich I β [C 1 C 2 ] = L. Rechenregeln für Zusicherungen III Folgerung (Verstärkungsregeln) Für die Konjunktion gilt und für die Disjunktion gilt Bemerkung Vergleichbare Regeln wie B S C 1 und B S C 2 B S C 1 C 2 B 1 S C und B 2 S C B 1 B 2 S C. (Die Disjunktionsformel wird entsprechend bewiesen.) B S C B S C oder B S C C S B für die Negation sind jedoch keineswegs herleitbar! Zusicherung für die Wiederholungsanweisung Wie bei Floyd nur für die partielle Korrektheit SCHLEIFENREGEL while (x > 0) { x = x-1; y = y+1; J B S J J while (B) S J B (Schleife mit eingestreuten Zusicherungen) // «x+y = a» J // «x+y = a & x > 0» J & B // «x+y = a» Abschwächung // «x+y = a-1» Zuweisungsregel // «x+y = a» Zuweisungsregel // «x+y = a & x <= 0» J & -B (Methode zur ganzzahligen Division) int divide (int x, int y) { // «true» (Vb) // «x/y = x/y + 0» int r = x; // «x/y = r/y + 0» int q = 0; // «x/y = r/y + q» (J) while (r >= y) { // «r >= y & x/y = r/y + q» (B&J) // «r-y >= 0 & x/y = (r-y)/y q» r = r-y; // «r >= 0 & x/y = r/y q» // «r >= 0 & x/y = r/y + q+1» q = q+1; // «r >= 0 & x/y = r/y + q» // «x/y = r/y + q» (J) // «r < y & x/y = r/y + q» (-B&J) // «x/y = 0 + q» // «x/y = q» (Nb) return q;

7 Totale Korrektheit von Wiederholungsanweisungen Terminierungsfragen treten nur in Schleifen & Rekursionen auf Satz (Terminierungsregel) Zur abweisenden Schleife while(b) S existiere eine Schleifeninvariante J, ein ganzzahliger Terminierungsausdruck E sowie ein frischer Bezeichner int i mit: 1. C J 2. E 0 J B 3. E = i + 1 B J S E i J Dann terminiert die Schleifenausführung unter der Vorbedingung C, sofern wenigstens alle S-Anweisungen ebenfalls terminieren. Bemerkung automatisierbares Beweisverfahren für die Terminierungseigenschaft geeignete Invariante geeigneter Terminierungsausdruck Fixpunkttechniken maschinelles Beweisen eine Vorbedingung Eine Frage der richtigen Strategie Vorwärtsanalyse viele viele Vorbedingungen Nachbedingungen Rückwärtsanalyse Verifikationsziel Q: Programm S, VB & NB A: Gültigkeit von B V S B N A: (u.u.: Terminierung) eine Nachbedingung Problematik Zusicherungskalkül arbeitet bottom-up (innen außen) Die schwächste Vorbedingung Logik und Mengenlehre Definiere die Zustandsmengen def = {β I β [B] = L. Dann gilt: Z B B C Z B Z C Homomorphien Z true = Z Z false = Z B = Z \ Z B Z B C = Z B Z C Z B C = Z B Z C Mengen & Formeln bilden boolesche Algebra & Halbordnung { { größer schwächer Je die Menge Z kleiner B, desto die Aussage B. stärker Nicht jede Aussagenmenge besitzt ein schwächstes Element. Definition Der boolesche Ausdruck B aus B S C heißt schwächste Vorbedingung von C für S (kürzer: B = wk (C S)), wenn B S C B B für alle B.

8 : schwächste VB mit/ohne Terminierung Rechenregeln des WP-Kalküls "vorher" C "nachher" Satz Die Abbildung wk ( ) ist monoton bezüglich : C 1 C 2 wk (C 1 S) wk (C 2 S) Die Abbildung wk ( ) ist verträglich mit der Konjunktion : Mit Terminierungsgarantie (I [S]) 1 (C) = {β 2, β 3, β 4, β 5 Ohne Terminierungsgarantie (I [S]) 1 (C { ) = {β 2, β 3, β 4, β 5 {β 1 β 5 Z β Z Existiert wk (S C)? (I [S]) 1 (C) versus {B B S C versus {B B S C wk (C 1 C 2 S) wk (C 1 S) wk (C 2 S) Die Abbildung wk ( ) ist verträglich mit der Disjunktion : wk (C 1 C 2 S) wk (C 1 S) wk (C 2 S) Wunder sind ausgeschlossen jedenfalls sofern S terminiert: wk (false S) false Beweis. Wunder Jede andere VB als B=false besitzt irgendein β mit I β [B] = L, und dessen S-Nachfolgezustand β wird ja kaum der NB C=false genügen. Wenn S unter Umständen nicht terminiert, ist diese Argumentation gegenstandslos. Monotonie Es ist ja wk (C i S) = (I [S]) 1 (C i ). Die größere Menge C 2 wird aber mindestens so viele Urbilder (also Zustände β mit I [S] (β) C 2 ) besitzen wie die kleinere C 1. Konjunktion Die Äquivalenz beider Seiten ergibt sich aus der Hinrichtung plus der Rückrichtung, die ganz einfach aus der Monotonie folgt. Disjunktion (wie Konjunktion, aber nur für deterministische Maschinenmodelle) S = Münze werfen C 1 = Zahl erscheint gilt einerseits C 2 = Kopf erscheint Gegenbeispiel Mit wk (C 1 S) wk (C 2 S) false doch andererseits wk (C 1 C 2 S) wk (true S) true Berechnungsformeln des WP-Kalküls Vollautomatisches Herunterrasseln bei gegebener Nachbedingung LEERAKTION wk (C {) = C ZUWEISUNG wk (C x=e;) = C[E/x] ABBRUCH wk (false throw err) = true KOMPOSITION wk (C S 1 S 2 ) = wk ( wk (C S 2 ) S 1 ) VERZWEIGUNG wk (C if (B) S 1 else S 2 ) = (B wk (C S 1 )) ( B wk (C S 2 )) WIEDERHOLUNG V 0 (C) = C B V k+1 (C) = wk (V k (C) S) (C B) wk (C while (B) S) = k 0 : V k (C)

9 (10) 1. Eine Zusicherung dient der Spezifikation der Funktionsweise einer Anweisung mittels Vor- und Nachbedingungen. 2. Die partielle bzw. totale Korrektheit garantiert die Richtigkeit (und ggf. die Existenz) eines Resultats. 3. Ein Programmtest ersetzt die -verifikation nur bei endlicher Aufgabenstellung oder im Falle eines Misserfolgs. 4. Die Floyd-Invariante dient dem Nachweis partieller Korrektheit von Schleifenkonstrukten. 5. Der Hoare-Kalkül verfügt über Axiome und Regeln für die Zusicherungsprüfung elementarer bzw. komplexer Anweisungen. 6. Grundsätzlich erlaubt Hoare die Verifikation beliebiger imperativer Programme und besitzt eingeschränkte Mechanismen (Halteproblem!) zum Nachweis totaler Korrektheit. 7. Dijkstras Weakest-Precondition-Kalkül berechnet optimale Vorbedingungen zu einer Zielkonfiguration aus Anweisung und Resultatvorgabe. 8. Durch sukzessive Rückwärtsanalyse, beginnend bei der Spezifikations-NB, kann so der Verifikationsprozess automatisiert werden. 9. WP beruht auf der Annahme deterministischer Berechnungsschritte.