Semantyka i weryfikacja programów/Ćwiczenia 15: Różnice pomiędzy wersjami

Intuicyjnie, pownniśmy wskazać wyrażenie, którego wartość maleje w każdym obrocie pętli i jest zawsze nieujemna. Naturalnym kandydatem jest wyrażenie ${\displaystyle q}$. W dowodzie poprawności częściowej używaliśmy niezmiennika ${\displaystyle N\equiv z\cdot p^q=x^y}$. Intuicyjnie mówiąc, dla własności stopu potrzebujemy dodatkowo własności ${\displaystyle q\ge 0}$, więc naturalnym pomysłem byłoby dodanie tej własności do niezmiennika. Dla formalnego dowodu potrzebujemy jednak, "kontrolować" wartość zmiennej ${\displaystyle q}$ za pomocą zewnętrzenego parametru:

${\displaystyle N^{\prime }(l)\equiv z\cdot p^q=x^y\wedge q=l}$.

Formalnie rzecz biorąc, wykażemy:

${\displaystyle [\mathrm{\exists }l\ge 0.N^{\prime }(l)]}$
while q <> 0 do
  if odd(q) then
    z := z * p;
  q := q div 2;
  p := p * p
${\displaystyle [N^{\prime }(0)]}$

i dodatkowo dwie implikacje:

• ${\displaystyle y\ge 0⟹\mathrm{\exists }l\ge 0.N^{\prime }(l)}$
• ${\displaystyle N^{\prime }(0)⟹z=x^y}$.

Zastosujemy teraz następującą regułę dla pętli (jest to odmiana reguły zaprezentowanej na wykładzie, która jest wygodna w tym zadaniu :)

${\displaystyle \frac{l>0\wedge N^{\prime }(l)⟹b[l>0\wedge N^{\prime }(l)]I[N^{\prime }(l\mathrm{d}\mathrm{i}\mathrm{v}2)]N^{\prime }(0)⟹\mathrm{\neg }b}{[\mathrm{\exists }l.l\ge 0\wedge N^{\prime }(l)]\mathbf{𝐰}\mathbf{𝐡}\mathbf{𝐢}\mathbf{𝐥}\mathbf{𝐞}b\mathbf{𝐝}\mathbf{𝐨}I[N^{\prime }(0)]}}$

Wystarczy zatem dowieść:

  ${\displaystyle [l>0\wedge N^{\prime }(l)]}$
  if odd(q) then
    z := z * p;
  q := q div 2;
  p := p * p
  ${\displaystyle [N^{\prime }(l\mathrm{d}\mathrm{i}\mathrm{v}2)]}$

oraz kolejnych dwóch łatwych implikacji:

• ${\displaystyle l\mathrm{d}\mathrm{i}\mathrm{v}2\ge 0\wedge N^{\prime }(l)⟹q\ne 0}$
• ${\displaystyle N^{\prime }(0)⟹q=0}$.

Stosując teraz zwykłe reguły "przeciągamy" asercję ${\displaystyle N^{\prime }(l\mathrm{d}\mathrm{i}\mathrm{v}2)}$ w tył:

  ${\displaystyle [l>0\wedge z\cdot p^q=x^y\wedge q=l]}$
  if odd(q) then
  (
    ${\displaystyle [l>0\wedge z\cdot p^q=x^y\wedge q=l\wedge \mathrm{o}\mathrm{d}\mathrm{d}(q)]}$
        ${\displaystyle \Downarrow }$
    ${\displaystyle [(z\cdot p)\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\wedge q\mathrm{d}\mathrm{i}\mathrm{v}2=l\mathrm{d}\mathrm{i}\mathrm{v}2]}$
    z := z * p;
    ${\displaystyle [z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\wedge q\mathrm{d}\mathrm{i}\mathrm{v}2=l\mathrm{d}\mathrm{i}\mathrm{v}2]}$
  )
  ${\displaystyle [z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\wedge q\mathrm{d}\mathrm{i}\mathrm{v}2=l\mathrm{d}\mathrm{i}\mathrm{v}2]}$
  q := q div 2;
  ${\displaystyle [z\cdot (p\cdot p{)}^q=x^y\wedge q=l\mathrm{d}\mathrm{i}\mathrm{v}2]}$
  p := p * p
  ${\displaystyle [z\cdot p^q=x^y\wedge q=l\mathrm{d}\mathrm{i}\mathrm{v}2]}$

Oprócz implikacji zaznaczonej w anotacjach, powinniśmy też udowodnić:

${\displaystyle l>0\wedge z\cdot p^q=x^y\wedge q=l\wedge \mathrm{\neg }\mathrm{o}\mathrm{d}\mathrm{d}(q)⟹z\cdot (p\cdot p{)}^{(q\mathrm{d}\mathrm{i}\mathrm{v}2)}=x^y\wedge q\mathrm{d}\mathrm{i}\mathrm{v}2=l\mathrm{d}\mathrm{i}\mathrm{v}2}$

W przyszłości będziemy pomijać formalny dowód własności stopu i ograniczymy się do podania wyrażenia, które maleje w każdym obiegu pętli. Będziemy używali następującej notacji:

...

while  ${\displaystyle [N]}$  q <> 0 do ${\displaystyle [\mathbf{𝐝}\mathbf{𝐞}\mathbf{𝐜}\mathbf{𝐫}q\mathbf{𝐢}\mathbf{𝐧}\mathbb{\mathbb{N}}\mathbf{𝐰}\mathbf{𝐫}\mathbf{𝐭}<]}$
(
  if odd(q) then
    z := z * p;
  q := q div 2;
  p := p * p
)
${\displaystyle [N\wedge q=0]}$

...

Zacznijmy od niezmiennika dla pętli zewnętrznej: ${\displaystyle N_1\equiv s=i^3\wedge 1\le i\le n}$.

${\displaystyle \{n\ge 1\}}$
  ${\displaystyle \Downarrow }$        // 1 
${\displaystyle \{N_1[i\mapsto 1][s\mapsto 1]\}}$
s := 1; 
i := 1;
while  ${\displaystyle \{N_1\}}$  i < n do
(
  ${\displaystyle \{N_1\wedge i<n\}}$
  k := 1; 
  l := 0; 
  p := 1;
  ${\displaystyle \{N_1\wedge i<n\wedge k=1\wedge l=0\wedge p=1\}}$
  while p < i do
  (
    k := k + 1;
    if l < p then
    (
      l := l + 1;
      p := 1
    )
    else
    (
      p := p + 1;
    )
  )
  s := s + 6 * k + p - l;
  i := i + 1;
  ${\displaystyle \{N_1\}}$
) 
${\displaystyle \{N_1\wedge i\ge n\}}$
  ${\displaystyle \Downarrow }$        // 2 
${\displaystyle \{s=n^3\}}$

Dwie zaznaczone implikacja są łatwe do udowodnienia. Trudniej jest znależć niezmiennik dla pętli wewnętrznej. Przede wszystkim zauważmy, że jeśli ${\displaystyle N_1}$ ma się "odnawiać" po każdym obrocie zewnętrznej pętli, to wartość dodawana do zmiennej ${\displaystyle s}$ powinna wynosić:

${\displaystyle (i+1{)}^3-i^3=3\cdot i^2+3\cdot i+1=3\cdot (i^2+i)+1=3\cdot i\cdot (i+1)+1.}$

Zatem pętla wewnętrzna powinna prawdopodobnie obliczać na zmiennej ${\displaystyle k}$ wartość ${\displaystyle \frac{i\cdot (i+1)}{2}=1+2+\dots +i}$. Jeśli uważnie przyjrzymy się pętli wewnętrznej, to zaobserwujemy, że zmienna ${\displaystyle k}$ przechowuje wartość ${\displaystyle 1+2+\dots +l}$ plus "zaczęte" ${\displaystyle l+1}$, czyli plus ${\displaystyle p}$. Spróbujmy niezmiennik postaci:

${\displaystyle N_2\equiv k=(1+2+\dots +l)+p\wedge \dots }$

Pozostaje jeszcze ustalić ograniczenia górne lub dolne zmiennych p, l. Po pierwsze, zawsze zachodzi ${\displaystyle p\le l+1}$. Po drugie, oczekujemy, że spełniony będzie warunek ${\displaystyle l<i}$. Zauważmy, że zmienna ${\displaystyle l}$ nigdy nie osiągnie wartości ${\displaystyle i}$, gdyż wcześniej zmienna ${\displaystyle p}$ osiągnie tę wartość, a wtedy nastąpi od razu wyjście z pętli. Połączmy te ograniczenia w jeden zwięły warunek:

${\displaystyle N_2\equiv k=(1+2+\dots +l)+p\wedge 1\le p\le l+1\le i}$

Oto odpowiednie anotacje całego programu:

${\displaystyle \{n\ge 1\}}$
  ${\displaystyle \Downarrow }$        // 1 
${\displaystyle \{N_1[i\mapsto 1][s\mapsto 1]\}}$
s := 1; 
i := 1;
while  ${\displaystyle \{N_1\}}$  i < n do
(
  ${\displaystyle \{N_1\wedge i<n\}}$
  k := 1; 
  l := 0; 
  p := 1;
  ${\displaystyle \{N_1\wedge i<n\wedge k=1\wedge l=0\wedge p=1\}}$
    ${\displaystyle \Downarrow }$        // 3  
  ${\displaystyle \{N_2\}}$
  while  ${\displaystyle \{N_2\}}$  p < i do
  (
    k := k + 1;
    if l < p then
    (
      l := l + 1;
      p := 1
    )
    else
    (
      p := p + 1;
    )
  )
  ${\displaystyle \{N_2\wedge p\ge i\}}$
    ${\displaystyle \Downarrow }$        // 4 
  ${\displaystyle \{N_1[i\mapsto i+1][s\mapsto s+6\cdot k+p-l]\}}$
  s := s + 6 * k + p - l;
  i := i + 1;
  ${\displaystyle \{N_1\}}$
) 
${\displaystyle \{N_1\wedge i\ge n\}}$
  ${\displaystyle \Downarrow }$        // 2 
${\displaystyle \{s=n^3\}}$

Musimy teraz udowodnić dwie kolejne zaznaczone powyżej implikacje:

• ${\displaystyle N_1\wedge i<n\wedge k=1\wedge l=0\wedge p=1⟹N_2}$
• ${\displaystyle N_2\wedge p\ge i⟹N_1[i\mapsto i+1][s\mapsto s+6\cdot k+p-l]}$.

Pierwsza z nich jest oczywista, natomiast nie jesteśmy w stanie dowieść drugiej! Jest tak dlatego, że w ${\displaystyle N_2}$ nie mamy informacji o tym, że przed wejściem do pętli wewnętrznej zachodziło ${\displaystyle s=i^3}$, a jest to niezbędne w dowodzie. Zmodyfikujmy ${\displaystyle N_2}$ następująco:

${\displaystyle N_2\equiv s=i^3\wedge k=(1+2+\dots +l)+p\wedge 1\le p\le l+1\le i}$

i wróćmy do ostatniej z implikacji powyżej. Wciąż brakuje nam pewnych informacji! Tym razem nie potrafimy pokazać, że zachodzi ${\displaystyle i+1\le n}$, co stanowi część formuły ${\displaystyle N_1[i\mapsto i+1][s\mapsto s+6\cdot k+p-l]}$. Powinniśmy dodać do ${\displaystyle N_2}$ warunek ${\displaystyle i<n}$, który zachodzi zawsze po wejściu do pętli zewnętrznej. Otrzymujemy ostatecznie:

${\displaystyle N_2\equiv s=i^3\wedge i<n\wedge k=(1+2+\dots +l)+p\wedge 1\le p\le l+1\le i}$

Teraz dowód ostatniej implikacji jest możliwy. Zauważmy w szczególności, że warunek ${\displaystyle p\ge i}$ w połączeniu z warunkiem ${\displaystyle p\le l+1\le i}$ obecnym w ${\displaystyle N_2}$ daje nam ${\displaystyle p=l+1=i}$. Ponieważ ${\displaystyle p=l+1}$ mamy:

${\displaystyle s+6\cdot k+p-l=s+6\cdot (1+2+\dots +(l+1))+1}$

a ponieważ ${\displaystyle l+1=i}$, otrzymujemy:

${\displaystyle s+6\cdot k+p-l=s+6\cdot (1+2+\dots +(l+1))+1=s+6\cdot (1+2+\dots +i)+1=s+6\cdot \frac{i\cdot (i+1)}{2}+1=s+3\cdot i^2+3\cdot i+1=(i+1{)}^3}$

Na koniec pozostał nam dowód poprawności instrukcji wewnętrznej w wewnętrznej pętli:

    ...
    
    ${\displaystyle \{N_2\wedge p<i\}}$
    k := k + 1;
    ${\displaystyle \{?\}}$
    if l < p then
    (
      l := l + 1;
      p := 1
    )
    else
    (
      p := p + 1;
    )
    ${\displaystyle \{N_2\}}$
    
    ...

Musimy wpisać jakąś asercję w miejsce znaku zapytania. Nietrudno jest odgadnąć właściwą formułę: wystarczy dodać jeden do wyrażenia, które stoi po prawej stronie w równaniu ${\displaystyle k=(1+2+\dots l)+p}$ w ${\displaystyle N_2\wedge p<i}$, czyli zastąpić je przez ${\displaystyle k=(1+2+\dots l)+p+1}$. Oznaczmmy przez ${\displaystyle N^{\prime }}$ asercję, którą otrzymujemy w ten sposób z ${\displaystyle N_2}$:

${\displaystyle N^{\prime }\equiv s=i^3\wedge i<n\wedge k=(1+2+\dots l)+p+1\wedge 1\le p\le l+1\le i}$

Oto szczegółowa anotacja rozważanego fragmentu programu:

    ...
    
    ${\displaystyle \{N_2\wedge p<i\}}$
      ${\displaystyle \Downarrow }$        // 5 
    ${\displaystyle \{N^{\prime }[k\mapsto k+1]\wedge p<i\}}$
    k := k + 1;
    ${\displaystyle \{N^{\prime }\wedge p<i\}}$
    if l < p then
    (
      ${\displaystyle \{N^{\prime }\wedge l<p\}}$
        ${\displaystyle \Downarrow }$        // 6 
      ${\displaystyle \{N_2[p\mapsto 1][l\mapsto l+1]\}}$
      l := l + 1;
      p := 1
      ${\displaystyle \{N_2\}}$
    )
    else
    (
      ${\displaystyle \{N^{\prime }\wedge l\ge p\}}$
        ${\displaystyle \Downarrow }$        // 7 
      ${\displaystyle \{N_2[p\mapsto p+1]\}}$
      p := p + 1;
      ${\displaystyle \{N_2\}}$
    )
    ${\displaystyle \{N_2\}}$
    
    ...

oraz implikacje niezbędne dla dokończenia dowodu:

• ${\displaystyle N_2\wedge p<i⟹N^{\prime }[k\mapsto k+1]\wedge p<i}$
• ${\displaystyle N^{\prime }\wedge l<p<i⟹N_2[p\mapsto 1][l\mapsto l+1]}$
• ${\displaystyle N^{\prime }\wedge l\ge p<i⟹N_2[p\mapsto p+1]}$.

Własność stopu pętli zewnętrznej łatwo jest pokazać, gdyż w każdym obiegu rośnie wartość zmiennej ${\displaystyle i}$, czyli maleje wartość wyrażenia ${\displaystyle n-i}$. Dodatkowo ${\displaystyle n-i\ge 0}$ zagwarantowane jest przez niezmiennik ${\displaystyle N_1}$.

Trudniej jest pokazać własność stopu pętli wewnętrznej. Choć dozór tej pętli to ${\displaystyle p<i}$, to zasadnicze znaczenie dla tej pętli ma nie tyle wzrost wartości zmiennej ${\displaystyle p}$ (zmienna i nie zmienia się w tej pętli) co wzrost wartości zmiennej ${\displaystyle l}$. Ale wyrażenie ${\displaystyle i-l}$ nie maleje po każdym obiegu pętli! Może ono pozostać niezmienione, ale wtedy rośnie na pewno wartość zmiennej ${\displaystyle p}$, czyli maleje ${\displaystyle i-p}$. Widać zatem, że warto tutaj wziąć pod uwagę porządek leksykograficzny par liczb: para wartości wyrażeń ${\displaystyle ⟨i-l,i-p⟩}$ maleje w porządku leksykograficznym po każdym obiegu pętli. Obydwa mają przy tym zawsze wartość większą lub równą 0, dzięki niezmiennikowi ${\displaystyle N_2}$.

Odpowiednie anotacje całego programu to:

${\displaystyle [n\ge 1]}$
  ${\displaystyle \Downarrow }$        // 1 
${\displaystyle [N_1[i\mapsto 1][s\mapsto 1]]}$
s := 1; 
i := 1;
while  ${\displaystyle [N_1]}$  i < n do ${\displaystyle [\mathbf{𝐝}\mathbf{𝐞}\mathbf{𝐜}\mathbf{𝐫}n-i\mathbf{𝐢}\mathbf{𝐧}\mathbb{\mathbb{N}}\mathbf{𝐰}\mathbf{𝐫}\mathbf{𝐭}<]}$
(
  ${\displaystyle [N_1\wedge i<n]}$
  k := 1; 
  l := 0; 
  p := 1;
  ${\displaystyle [N_1\wedge i<n\wedge k=1\wedge l=0\wedge p=1]}$
    ${\displaystyle \Downarrow }$        // 3  
  ${\displaystyle [N_2]}$
  while  ${\displaystyle [N_2]}$  p < i do ${\displaystyle [\mathbf{𝐝}\mathbf{𝐞}\mathbf{𝐜}\mathbf{𝐫}⟨i-l,i-p⟩\mathbf{𝐢}\mathbf{𝐧}{\mathbb{\mathbb{N}}}^2\mathbf{𝐰}\mathbf{𝐫}\mathbf{𝐭}{<}_{\text{lex}}]}$
  (
    
    ...
    
    )
  )
  ${\displaystyle [N_2\wedge p\ge i]}$
    ${\displaystyle \Downarrow }$        // 4 
  ${\displaystyle [N_1[i\mapsto i+1][s\mapsto s+6\cdot k+p-l]]}$
  s := s + 6 * k + p - l;
  i := i + 1;
  ${\displaystyle [N_1]}$
) 
${\displaystyle [N_1\wedge i\ge n]}$
  ${\displaystyle \Downarrow }$        // 2 
${\displaystyle [s=n^3]}$