第7课程序验证.ppt

中国科大 第7章 程序验证 内容概述 程序逻辑：描述和论证程序行为的逻辑 Hoare逻辑 Dijkstra最弱前条件演算 从程序到定理 验证条件生成 从定理到证明 定理证明器 判定过程 循环不变式的推断 以George C. Necula教授的讲稿为主来介绍 程 序 逻 辑 Hoare逻辑 良形公式（well-formed formula）的形式为 { P } C { Q } C是程序片段 需要介绍编程语言 P 和Q是断言 需要介绍断言及推理规则 { P } C { Q }称为程序规范 需要介绍规范语言及推理规则 Hoare逻辑也称为语言的一种公理语义 作为例子的核心编程语言 语法 整数表达式 E ::= n | x | ?E | E + E | E ? E | E ? E | ( E ) 布尔表达式 B ::= true | false | !B | B B | B || B | E E | ( B ) 命令 C ::= x = E | C ; C | if B { C } else { C } | while B { C } 例子 y = 1; z = 0; while (z != x) { z = z +1; y = y ? z } Hoare逻辑 断言语言 用来描述程序变量满足的性质，如x==5, x+y 30 通常，断言P, Q的语法同编程语言布尔表达式的语法有些区别：如可以出现量词 Hoare逻辑的良形公式 { P } C { Q } C是一段程序，P和Q分别是C的前条件和后条件 例如 { x == 5 } x = x + 1 { x == 6 } Hoare逻辑 Hoare逻辑良形公式{ P } C { Q }的解释 部分正确性 在满足P的任何状态下执行C，若C终止则结果状态一定满足Q。记作 ? ?par { P } C { Q } 完全正确性 在满足P的任何状态下执行C，则C一定终止并且结果状态一定满足Q。记作 ? ?tot { P } C { Q } 通常建议用部分正确性证明＋终止性证明来得到完全正确性证明 Hoare逻辑 ? 例1 Succ ? 例2 Fac1 { ? } { x = 0 } a = x + 1; y = 1; if (a -1 == 0 ) { z = 0; y = 1; while ( z != x ) { } else { z = z + 1; y = a; y = y ? z; } } { y == x + 1 } { y == x ! } Hoare逻辑 ? 例2 Fac1 ? 例3 Fac2 { x = 0 } x0是辅助的逻辑变量 y = 1; { x = 0 ? x == x0 } z = 0; y = 1; while ( z != x ) { while ( x != 0 ) { z = z + 1; y = y ? x; y = y ? z; x = x ? 1; } } { y == x ! } { y == x0 ! } Hoare逻辑 部分正确性的证明规则 赋值公理 赋值公理的实例 { 2 == 2 } x = 2 { x == 2 } { 2 == 4 } x = 2 { x == 4 } { 2 == y } x = 2 { x == y } { 2 0 } x = 2 { x 0 } { x + 1 + 5 == y } x = x + 1 { x + 5 ==y } { x + 1 0 ? y 0 } x = x + 1 { x 0 ? y 0 } Hoare逻辑 部分正确性的证明规则 赋值公理 复合规则 条件规则 循环规则 Hoare逻辑 部分正确性的证明规则 推论规则 ?AR P?? P 表示P?? P在谓词逻辑的自然演绎演 算中可以证明 Hoare逻辑 n = 0 function mult(m, n) { { (0 == m?0) ? (0 = n) } x = 0 ; { (x == m?0) ? (0 = n) } y = 0 ; { (x == m?y) ? (y = n) } while y n do { { (x+m == m?(y+1)) ? ((y+1) = n) } x = x + m ; { (x == m?(y+1)) ? ((y+1) = n) } y = y + 1 ; { (x == m?y) ? (y = n) }