Semantyka i weryfikacja programów/Ćwiczenia 13: Różnice pomiędzy wersjami

Najpierw musimy odgadnąć asercję, którą można wpisać pomiędzy początkowe przypisania a pętlę:

${\displaystyle \{n\ge 1\}}$
x := 1; 
y := 0;
${\displaystyle \{?\}}$
while x <= n do
(
  y := y + x;
  x := x + 1
)
${\displaystyle \{y=\frac{n\cdot (n+1)}{2}\}}$

Możemy na przykład "przeciągnąć" asercję początkową wprzód, otrzymując ${\displaystyle \{n\ge 0\wedge x=1\wedge y=0\}}$. Teraz wystarczy dowieść następujące dwie trójki Hoare'a:

${\displaystyle \{n\ge 1\}}$
x := 1; 
y := 0;
${\displaystyle \{n\ge 0\wedge x=1\wedge y=0\}}$

${\displaystyle \{n\ge 0\wedge x=1\wedge y=0\}}$
while x <= n do
(
  y := y + x;
  x := x + 1
)
${\displaystyle \{y=\frac{n\cdot (n+1)}{2}\}}$

Zajmijmy się tą ostatnią. Naszym zadaniem jest teraz odkrycie niezmiennika ${\displaystyle N}$ takiego, że zachodzą poniższe dwie implikacje:

• ${\displaystyle n\ge 0\wedge x=1\wedge y=0⟹N}$
• ${\displaystyle N\wedge x>n⟹y=\frac{n\cdot (n+1)}{2}}$

oraz prawdziwa jest trójka:

${\displaystyle \{N\}}$
while x <= n do
(
  y := y + x;
  x := x + 1
)
${\displaystyle \{N\wedge x>n\}}$

Aby dowieść tej ostatniej, musimy pokazać:

${\displaystyle \{N\wedge x\le n\}}$
y := y + x;
x := x + 1
${\displaystyle \{N\}}$

Formalnie rzecz biorąc, powinniśmy teraz zgadnąć asercję, która może być wpisana pomiędzy dwie instrukcje przypisania:

${\displaystyle \{N\wedge x\le n\}}$
y := y + x;
${\displaystyle \{?\}}$
x := x + 1
${\displaystyle \{N\}}$

a następnie niezależnie dowieść poprawność każdej z dwóch nstrukcji. Ale w "odgadnięciu" pomoże nam reguła dla przypisania, która, intuicyjnie mówiąc, daje sposób na "przeciągnięcie" asercji w tył. Jeśli zastosujemy ją do drugiego przypisania "x := x + 1", otrzymamy:

${\displaystyle \{N\wedge x\le n\}}$
y := y + x;
${\displaystyle \{N[x\mapsto x+1]\}}$
x := x + 1
${\displaystyle \{N\}}$

Teraz musimy tylko pokazać trójkę:

${\displaystyle \{N\wedge x\le n\}}$
y := y + x;
${\displaystyle \{N[x\mapsto x+1]\}}$

Użyjmy więc ponownie reguły dla przypisania, otrzymując:

${\displaystyle \{N\wedge x\le n\}}$
    ${\displaystyle \Downarrow }$          // tę implikację należy udowodnić 
${\displaystyle \{N[x\mapsto x+1][y\mapsto y+x]\}}$
y := y + x;
${\displaystyle \{N[x\mapsto x+1]\}}$

Skoro dwie asercje spotkały się, wystarczy teraz udowodnić implikację.

I tak dalej. To znaczy, podobnie postępujemy z pozostałymi przypisaniami. A wszędzie, gdzie spotykają się dwie asercje, dowodzimy implikacji. Podsumowując, poniższe anotacje całego programu powinny stanowić dowód poprawności częściowej:

${\displaystyle \{n\ge 1\}}$
x := 1; 
${\displaystyle \{n\ge 0\wedge x=1\}}$
y := 0;
${\displaystyle \{n\ge 0\wedge x=1\wedge y=0\}}$
    ${\displaystyle \Downarrow }$        // 1 
${\displaystyle \{N\}}$
while x <= n do
(
  ${\displaystyle \{N\wedge x\le n\}}$
      ${\displaystyle \Downarrow }$        // 2 
  ${\displaystyle \{N[x\mapsto x+1][y\mapsto y+x]\}}$
  y := y + x;
  ${\displaystyle \{N[x\mapsto x+1]\}}$
  x := x + 1
  ${\displaystyle \{N\}}$
)
${\displaystyle \{N\wedge x>n\}}$
    ${\displaystyle \Downarrow }$        // 3 
${\displaystyle \{y=\frac{n\cdot (n+1)}{2}\}}$

A jedyne co pozostaje do zrobienia to tylko udowodnienie następujących implikacji:

1. ${\displaystyle n\ge 0\wedge x=1\wedge y=0⟹N}$
2. ${\displaystyle N\wedge x\le n⟹N[x\mapsto x+1][y\mapsto y+x]}$
3. ${\displaystyle N\wedge x>n⟹y=\frac{n\cdot (n+1)}{2}}$

Co ciekawe, to wszystko uczyniliśmy nie wiedząc wogóle, jaki jest niezmiennik pętli! Ale nadszedł wreszcie moment, w którym powinniśmy taki niezmiennik podać. Musimy go odgadnąć poprzez staranną obserwację tego, co dzieje się wewnątrz pętli. Należy oczywiście uwzględnić również implikacje, które wypisaliśmy powyżej.

Spróbujmy ${\displaystyle N\equiv y=\frac{x\cdot (x-1)}{2}\wedge x\le n+1}$.

Nierówność ${\displaystyle x\le n+1}$ jest niezbędna. Potrzebujemy jej po to, aby z ${\displaystyle N\wedge x>n}$ wywnioskować ${\displaystyle x=n+1}$. Implikacje są prawdziwe, więc niezmiennik został wybrany poprawnie.

Zauważmy, że niezmiennik nie zawiera wymagania ${\displaystyle x\ge 1}$. Moglibyśmy je jednak dodać, otrzymując ${\displaystyle N^{\prime }\equiv y=\frac{x\cdot (x-1)}{2}\wedge 1\le x\le n+1}$. Wszystkie implikacje pozostają prawdziwe, więc jest to też poprawny wybór. Ponadto wiedząc, że ${\displaystyle x\ge 1}$ możemy, dla czytelności, zapisywać niezmiennik w meta-notacji:

${\displaystyle N\equiv y=1+2+\dots +(x-1)\wedge x\le n+1}$

Pytanie: dlaczego nie potrzebowaliśmy warunku ${\displaystyle x\ge 0}$? Jak będzie działał nasz program, jeśli zmienną x zainicjujemy wartością ujemną (zamiast x := 1), np. x := -2, y := 3?

Notacja:

Niezmiennik pętli będziemy zwykle wpisywać pomiędzy słowem kluczowym while a dozorem pętli. W naszym przypadku otrzymamy następujące anotacje:

${\displaystyle \{n\ge 1\}}$
x := 1; 
${\displaystyle \{n\ge 0\wedge x=1\}}$
y := 0;
${\displaystyle \{n\ge 0\wedge x=1\wedge y=0\}}$
    ${\displaystyle \Downarrow }$        // 1 
${\displaystyle \{N\}}$
while  ${\displaystyle \{N\}}$  x <= n do
(
  ${\displaystyle \{N\wedge x\le n\}}$

  ...

Wariant:

Wróćmy na chwilę do naszej pierwszej decyzji, polegającej na wpisaniu następującej asercji

${\displaystyle \{n\ge 0\wedge x=1\wedge y=0\}}$

pomiędzy początkowe przypisania a pętlę. Mogliśmy uczynić inaczej i wpisać w to miejsce po prostu niezmiennik ${\displaystyle N}$. Wtedy należałoby wykazać:

${\displaystyle \{n\ge 1\}}$
x := 1; 
y := 0;
${\displaystyle \{N\}}$

co można, za pomocą znanego nam już "przepychania w tył", zredukować do udowodnienia implikacji:

${\displaystyle \{n\ge 1\}}$
    ${\displaystyle \Downarrow }$        // 1 
${\displaystyle \{N[y\mapsto 0][x\mapsto 1]\}}$
x := 1; 
${\displaystyle \{N[y\mapsto 0]\}}$
y := 0;
${\displaystyle \{N\}}$

Ostatecznie, anotacje programu wyglądałyby tak:

${\displaystyle \{n\ge 1\}}$
    ${\displaystyle \Downarrow }$        // 1 
${\displaystyle \{N[y\mapsto 0][x\mapsto 1]\}}$
x := 1; 
${\displaystyle \{N[y\mapsto 0]\}}$
y := 0;
while  ${\displaystyle \{N\}}$  x <= n do
(
  ${\displaystyle \{N\wedge x\le n\}}$
      ${\displaystyle \Downarrow }$        // 2 
  ${\displaystyle \{N[x\mapsto x+1][y\mapsto y+x]\}}$
  y := y + x;
  ${\displaystyle \{N[x\mapsto x+1]\}}$
  x := x + 1
  ${\displaystyle \{N\}}$
)
${\displaystyle \{N\wedge x>n\}}$
    ${\displaystyle \Downarrow }$        // 3 
${\displaystyle \{y=\frac{n\cdot (n+1)}{2}\}}$

a pierwsza z trzech implikacji to: ${\displaystyle n\ge 1⟹N[y\mapsto 0][x\mapsto 1]}$.

${\displaystyle \frac{\alpha ⟹\beta [x\mapsto e]}{\{\alpha \}x:=e\{\beta \}}}$

${\displaystyle \frac{\alpha ⟹\gamma \{\gamma \wedge b\}I\{\gamma \}\gamma \wedge \mathrm{\neg }b⟹\beta }{\{\alpha \}\mathbf{𝐰}\mathbf{𝐡}\mathbf{𝐢}\mathbf{𝐥}\mathbf{𝐞}b\mathbf{𝐝}\mathbf{𝐨}I\{\beta \}}}$

Jako niezmiennik pętli przyjmijmy ${\displaystyle N\equiv z\cdot p^q=x^y}$. Oto odpowiednie anotacje naszego programu:

${\displaystyle \{y\ge 0\}}$
${\displaystyle \{N[q\mapsto y][p\mapsto x][z\mapsto 1]\}}$
z := 1; 
p := x; 
q := y;
while  ${\displaystyle \{N\}}$  q <> 0 do
(
  ${\displaystyle \{N\wedge q\ne 0\}}$
  if odd(q) then
  (
    ${\displaystyle \{N\wedge q\ne 0\wedge \mathrm{o}\mathrm{d}\mathrm{d}(q)\}}$
    ${\displaystyle \{N[p\mapsto p\cdot p][q\mapsto q\mathrm{d}\mathrm{i}\mathrm{v}2][z\mapsto z\cdot p]\}}$
    z := z * p
    ${\displaystyle \{N[p\mapsto p\cdot p][q\mapsto q\mathrm{d}\mathrm{i}\mathrm{v}2]\}}$
  )
  else
  (
    ${\displaystyle \{N\wedge q\ne 0\wedge \ne \mathrm{o}\mathrm{d}\mathrm{d}(q)\}}$
    ${\displaystyle \{N[p\mapsto p\cdot p][q\mapsto q\mathrm{d}\mathrm{i}\mathrm{v}2]\}}$
    skip
    ${\displaystyle \{N[p\mapsto p\cdot p][q\mapsto q\mathrm{d}\mathrm{i}\mathrm{v}2]\}}$
  )
  ${\displaystyle \{N[p\mapsto p\cdot p][q\mapsto q\mathrm{d}\mathrm{i}\mathrm{v}2]\}}$
  q := q div 2;
  ${\displaystyle \{N[p\mapsto p\cdot p]\}}$
  p := p * p
  ${\displaystyle \{N\}}$
)
${\displaystyle \{N\wedge q=0\}}$
${\displaystyle \{z=x^y\}}$

Po podstawieniu niezmiennika:

${\displaystyle \{y\ge 0\}}$
${\displaystyle \{1\cdot x^y=x^y\}}$
z := 1; 
p := x; 
q := y;
while  ${\displaystyle \{z\cdot p^q=x^y\}}$  q <> 0 do
(
  ${\displaystyle \{z\cdot p^q=x^y\wedge q\ne 0\}}$
  if odd(q) then
  (
    ${\displaystyle \{z\cdot p^q=x^y\wedge q\ne 0\wedge \mathrm{o}\mathrm{d}\mathrm{d}(q)\}}$
    ${\displaystyle \{(z\cdot p)\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\}}$
    z := z * p
    ${\displaystyle \{z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\}}$
  )
  else
  (
    ${\displaystyle \{z\cdot p^q=x^y\wedge q\ne 0\wedge \ne \mathrm{o}\mathrm{d}\mathrm{d}(q)\}}$
    ${\displaystyle \{z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\}}$
    skip
    ${\displaystyle \{z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\}}$
  )
  ${\displaystyle \{z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\}}$
  q := q div 2;
  ${\displaystyle \{z\cdot (p\cdot p{)}^q=x^y\}}$
  p := p * p
  ${\displaystyle \{z\cdot p^q=x^y\}}$
)
${\displaystyle \{z\cdot p^q=x^y\wedge q=0\}}$
${\displaystyle \{z=x^y\}}$

Teraz pozostaje tylko pokazać następujące implikacje:

• ${\displaystyle y\ge 0⟹1\cdot x^y=x^y}$
• ${\displaystyle z\cdot p^q=x^y\wedge q\ne 0\wedge \mathrm{o}\mathrm{d}\mathrm{d}(q)⟹(z\cdot p)\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y}$
• ${\displaystyle z\cdot p^q=x^y\wedge q\ne 0\wedge \ne \mathrm{o}\mathrm{d}\mathrm{d}(q)⟹z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y}$
• ${\displaystyle z\cdot p^q=x^y\wedge q=0⟹z=x^y}$

Zauważmy, że w niezmienniku nie wymagamy, aby ${\displaystyle q\ge 0}$, ponieważ nie jest to potrzebne do udowodnienia powyższych implikacji. Musimy tylko umówić się, na wszelki wypadek, jak działa operacja div, gdy jej argument jest ujemny. Przyjmijmy, że ${\displaystyle q\mathrm{d}\mathrm{i}\mathrm{v}2=m}$ wtedy i tylko wtedy, gdy największą liczbą parzystą, nie większą od ${\displaystyle q}$, jest ${\displaystyle 2\cdot m}$.

Pytanie: czy niezmiennik pętli jest napewno prawdziwy, gdy zmienna q ma wartość ujemną?

${\displaystyle \mathbf{𝐫}\mathbf{𝐞}\mathbf{𝐩}\mathbf{𝐞}\mathbf{𝐚}\mathbf{𝐭}I\mathbf{𝐮}\mathbf{𝐧}\mathbf{𝐭}\mathbf{𝐢}\mathbf{𝐥}b}$ zachowuje się tak samo jak ${\displaystyle I;\mathbf{𝐰}\mathbf{𝐡}\mathbf{𝐢}\mathbf{𝐥}\mathbf{𝐞}\mathrm{\neg }b\mathbf{𝐝}\mathbf{𝐨}I}$. Stąd łatwo otrzymać regułę:

${\displaystyle \frac{\{\alpha \}I\{\beta \}\{\beta \wedge \mathrm{\neg }b\}I\{\beta \}}{\{\alpha \}\mathbf{𝐫}\mathbf{𝐞}\mathbf{𝐩}\mathbf{𝐞}\mathbf{𝐚}\mathbf{𝐭}I\mathbf{𝐮}\mathbf{𝐧}\mathbf{𝐭}\mathbf{𝐢}\mathbf{𝐥}b\{\beta \wedge b\}}}$

Dwukrotnie odwołujemy się do poprawności częściowej instrukcji ${\displaystyle I}$ względem różnych asercji początkowych. Gdybyśmy chcieli tego uniknąć, moglibyśmy rozważyć ${\displaystyle \alpha =\beta }$, otrzymując regułę:

${\displaystyle \frac{\{\beta \}I\{\beta \}\{\beta \wedge \mathrm{\neg }b\}I\{\beta \}}{\{\beta \}\mathbf{𝐫}\mathbf{𝐞}\mathbf{𝐩}\mathbf{𝐞}\mathbf{𝐚}\mathbf{𝐭}I\mathbf{𝐮}\mathbf{𝐧}\mathbf{𝐭}\mathbf{𝐢}\mathbf{𝐥}b\{\beta \wedge b\}}}$

Jeśli ${\displaystyle \{\beta \}}I\{\beta \}$ to ${\displaystyle \{\beta \wedge \mathrm{\neg }b\}}I\{\beta \}$. Zatem powyzszą regułę można uprościć:

${\displaystyle \frac{\{\beta \}I\{\beta \}}{\{\beta \}\mathbf{𝐫}\mathbf{𝐞}\mathbf{𝐩}\mathbf{𝐞}\mathbf{𝐚}\mathbf{𝐭}I\mathbf{𝐮}\mathbf{𝐧}\mathbf{𝐭}\mathbf{𝐢}\mathbf{𝐥}b\{\beta \wedge b\}}}$

otrzymując regułę prostszą, ale słabszą: we wnętrzu pętli nie możemy korzystać z tego, że począwszy od drugiej iteracji nie zachodzi ${\displaystyle b}$!

Jeszcze inna możliwość to:

${\displaystyle \frac{\{\alpha \}I\{\beta \}\beta \wedge \mathrm{\neg }b⟹\alpha }{\{\alpha \}\mathbf{𝐫}\mathbf{𝐞}\mathbf{𝐩}\mathbf{𝐞}\mathbf{𝐚}\mathbf{𝐭}I\mathbf{𝐮}\mathbf{𝐧}\mathbf{𝐭}\mathbf{𝐢}\mathbf{𝐥}b\{\beta \wedge b\}}}$