公理语义-Mann子目标Hoare.ppt

程序设计形式语义学 2 公理语义 试图通过在程序逻辑的范围内给出证明规则来确定程序设计构造的含义。该方法的代表人物是R.W.Floyd和C.A.R.Hoare。 从一开始，公理语义强调的是正确性证明。 2.5 程序正确性证明－Manna的子目标断言法 美国斯坦福大学的Z.Manna教授在Floyd的不变式断言法的基础上，提出了部分正确性证明的子目标法。 子目标法与不变式法的主要区别在于： 在断言设置中，不变式法的断言描述程序处理过程中的中间变量与初始值之间的关系，而子目标断言中描述的是中间变量与终值间的关系 其归纳推理方向不同。不变式断言法沿程序执行方向正向推理，而子目标法沿程序执行的反方向逆向归纳推理。 2.5 程序正确性证明－Manna的子目标断言法 1. 建立输入、输出和循环不变式断言 设x，y的初始值为x0，y0，可分别建立输入断言I、输出断言O、子目标断言如下： I(x): x0 ≥ 0 ∧ y0 ≥ 0 ∧ (x0 ≠ 0 ∨ y0 ≠ 0 ) O(x,z): z = gcd(x0,y0) 子目标断言q(x,y,yf): x ≥ 0 ∧ y ≥ 0 ∧ (x ≠ 0 ∨ y ≠ 0 ) = yf = gcd(x,y) 2.5 程序正确性证明－Manna的子目标断言法 2. 建立验证条件（采用逆向方法） 首先证明当控制最后一次通过L时，即控制转出循环时，子目标断言成立。为此，由x=0退出本循环，要证明验证条件1： C1(x,y): x=0 = q(x,y,yf) 即： x=0 = [x ≥ 0 ∧ y ≥ 0 ∧ (x ≠ 0 ∨ y ≠ 0 ) = yf = gcd(x,y) 其次，证明如果再通过循环后，子目标断言再L处成立，那么，再通过循环之前，断言也成立。为此，要证明下面两个验证条件。 由x ≠ 0 ∧ yx 可推出验证条件2， 即： C2(x,y): x ≠ 0 ∧ yx ∧ q(y,x,yf) = q(x,y,yf) 由x ≠ 0 ∧ y ≥ x 可推出验证条件3， 即：C3(x,y): x ≠ 0 ∧ y ≥ x ∧ q(x,y-x,yf) = q(x,y,yf) 最后，证明如果输入断言为真，且当控制第一次通过L时子目标断言为真，则输出断言为真。当第一次到达L点时，可推出验证条件4， 即：C4(x,y): x0 ≥ 0 ∧ y0 ≥ 0 ∧ (x0 ≠ 0 ∨ y0 ≠ 0 ) ∧ q(x0,y0,yf) = yf = gcd(x0,y0) 2.5 程序正确性证明－Manna的子目标断言法 3. 证明验证条件 验证条件1： C1(x,y): x=0 = q(x,y,yf) q(0,yf,yf) 即： x=0 = [0 ≥ 0 ∧ yf ≥ 0 ∧ (0 ≠ 0 ∨ yf ≠ 0 ) = yf = gcd(0, yf)] 。 验证条件2： C2(x,y): x ≠ 0 ∧ yx ∧ q(y,x,yf) = q(x,y,yf) 即： x ≠ 0 ∧ yx ∧ [y ≥ 0 ∧ x ≥ 0 ∧ (y ≠ 0 ∨ x ≠ 0 ) = yf = gcd(y, x)] = [x ≥ 0 ∧ y ≥ 0 ∧ (x ≠ 0 ∨ y ≠ 0 ) = yf = gcd(x,y)] 验证条件3， C3(x,y): x ≠ 0 ∧ y ≥ x ∧ q(x,y-x,yf) = q(x,y,yf) 即： x ≠ 0∧y ≥ x∧[x≥0∧y-x≥ 0∧(x ≠ 0 ∨ y-x ≠ 0 )=yf=gcd(x,y-x)] = [x ≥ 0 ∧ y ≥ 0 ∧ (x ≠ 0 ∨ y ≠ 0 ) = yf = gcd(x,y)] 验证条件4， C4(x,y): x0 ≥ 0 ∧ y0 ≥ 0 ∧ (x0 ≠ 0 ∨ y0 ≠ 0 ) ∧ q(x0,y0,yf) = yf = gcd(x0,y0)] 2.5 程序正确性证明－Hoare的公理化方法 1969年，Hoare在Floyd的不变式断言法基础上，提出了一种证明程序部分正确性的Hoare公理化方法。根据结构化定理，他提出了顺序语句、条件语句、WHILE循环语句三种基本语句证明规则，试图建立一个不变式演绎系统，以达到程序证明自动化之目的。 2.5 程序正确性证明－Hoare的公理化方法 定义2.8 不变式语句 称{P}S {Q}是不变式语句。其含义是：如果执行S之前P为真，并且S执行终止，Q为真，称不变式语句