Semantyka i weryfikacja programów/Ćwiczenia 1: Różnice pomiędzy wersjami

Zacznijmy od ustalenia notacji i dziedzin syntaktycznych. Niech ${\displaystyle \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}}$ oznacza zbiór stałych liczbowych, ${\displaystyle n\in \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}=\{0,1,\dots \}}$. Podobnie, niech ${\displaystyle \mathbf{𝐕}\mathbf{𝐚}\mathbf{𝐫}}$ oznacza zbiór identyfikatorów, które mogą być nazwami zmiennych; ${\displaystyle x\in \mathbf{𝐕}\mathbf{𝐚}\mathbf{𝐫}}$. Wreszcie, niech ${\displaystyle \mathbf{𝐄}\mathbf{𝐱}\mathbf{𝐩}}$ oznacza zbiór wyrażeń; ${\displaystyle e\in \mathbf{𝐄}\mathbf{𝐱}\mathbf{𝐩}}$. Dla ułatwienia zapisywania reguł zakładamy, że stałe liczbowe są wyrażeniami, czyli ${\displaystyle \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}\subseteq \mathbf{𝐄}\mathbf{𝐱}\mathbf{𝐩}}$.

Będziemy potrzebować zbioru "stanów", opisujących wartości przypisane zmiennym. Najprostszym rozwiązaniem jest przyjąć, że stan to funkcja z ${\displaystyle \mathbf{𝐕}\mathbf{𝐚}\mathbf{𝐫}}$ do ${\displaystyle \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}}$. Oznaczmy przez ${\displaystyle \mathbf{𝐒}\mathbf{𝐭}\mathbf{𝐚}\mathbf{𝐭}\mathbf{𝐞}}$ zbiór wszystkich takich funkcji; stany oznaczać będziemy przez ${\displaystyle s,s_1,s^{\prime },\dots \in \mathbf{𝐒}\mathbf{𝐭}\mathbf{𝐚}\mathbf{𝐭}\mathbf{𝐞}}$.

W naszej semantyce będziemy potrzebowac tranzycji dwóch postaci. Po pierwsze, tranzycje postaci

${\displaystyle e,s⟹,e^{\prime },s}$

oznaczające mały krok w trakcie obliczania wyrażenia ${\displaystyle e}$ w stanie ${\displaystyle s}$, w wyniku którego ${\displaystyle e}$ wyewoluowało do ${\displaystyle e^{\prime }}$. Stan nie ulega zmianie podczas obliczania wyrażenia (nie ma tzw. efektów ubocznych), więc to samo ${\displaystyle s}$ figuruje po lewej i prawej stronie strzałki.

Po drugie, tranzycje postaci

${\displaystyle e,s⟹,n}$

będą oznaczaczać, że wyrażenie ${\displaystyle e}$ jest już policzone, a jego wartością jest ${\displaystyle n}$.

Zatem przyjmijmy, że zbiór konfiguracji to

${\displaystyle (\mathbf{𝐄}\mathbf{𝐱}\mathbf{𝐩}\times \mathbf{𝐒}\mathbf{𝐭}\mathbf{𝐚}\mathbf{𝐭}\mathbf{𝐞})\cup \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}}$

a konfiguracje końcowe to ${\displaystyle \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}}$.

Najprostsze są tranzycje prowadzące do konfiguracji końcowej:

${\displaystyle n,s⟹,n}$

Symbol ${\displaystyle n}$ po lewej stronie to wyrażenie składające się ze stałej liczbowej, podczas gdy ${\displaystyle n}$ po prawej stronie reprezentuje liczbę będącą wartością wyrażenia.

Zmienna oblicza się do swojej wartości w bieżącym stanie:

${\displaystyle x,s⟹,n,s\text{ o ile }s(x)=n}$

Teraz zajmiemy się dodawaniem ${\displaystyle e_1+e_2}$. Ponieważ semantyka jest w stylu małych kroków, musimy zdecydować się, czy najpierw obliczyć pierwszy (lewy) składnik ${\displaystyle e_1}$, czy drugi? Jeśli wybierzemy lewy (strategia "lewostronna"), otrzymamy regułę:

${\displaystyle e_1+e_2,s⟹,e{\text{'}}_1+e_2,s\text{ o ile }{e}_1,s⟹,e{\text{'}}_1,s}$

Reguły tej postaci będziemy zapisywać tak:

${\displaystyle \frac{e_1,s⟹,e{\text{'}}_1,s}{e_1+e_2,s⟹,e{\text{'}}_1+e_2,s}}$

Czyli mały krok w ${\displaystyle e_1}$ stanowi też mały krok w ${\displaystyle e_1+e_2}$. Po zakończeniu obliczania ${\displaystyle e_1}$ przechodzimy do ${\displaystyle e_2}$:

${\displaystyle \frac{e_2,s⟹,e{\text{'}}_2,s}{n+e_2,s⟹,n+e{\text{'}}_2,s}}$

A na końcu dodajemy:

${\displaystyle n_1+n_2,s⟹,n,s\text{ o ile }n=n_1+n_2}$

Zwróćmy tutaj uwagę na pewną subtelność, dotyczącą dwóch wystąpień symbolu ${\displaystyle +}$: pierwsze wystąpienie oznacza jedną z konstrukcji składniowych języka, a drugie oznacza operację dodawania w zbiorze ${\displaystyle \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}}$. Pozwalamy sobie na taką kolizję oznaczeń, gdyż nie powinna ona prowadzić do niejednoznaczności. Pamiętajmy, że składnia języka jest składnią abstrakcyjną, więc zamiast ${\displaystyle e_1+e_2}$ moglibyśmy równie dobrze pisać np. ${\displaystyle \mathrm{a}\mathrm{d}\mathrm{d}}(e_1,e_2)$, a wtedy reguła wyglądałaby tak:

${\displaystyle \mathrm{a}\mathrm{d}\mathrm{d}(n_1,n_2),s⟹,n,s\text{ o ile }n=n_1+n_2}$

Inną możliwą strategią obliczania ${\displaystyle e_1+e_2}$ jest strategia "prawostronna", którą otrzymujemy zastępując pierwsze dwie z trzech powyższych reguł przez:

${\displaystyle \frac{e_2,s⟹,e{\text{'}}_2,s}{e_1+e_2,s⟹,e_1+e{\text{'}}_2}\frac{e_1,s⟹,e{\text{'}}_1,s}{e_1+n,s⟹,e{\text{'}}_1+n,s}}$

Ponadto, jeśli przyjmiemy regułę pierwszą (dla ${\displaystyle e_1}$), trzecią i czwartą (dla ${\displaystyle e_2}$), otrzymamy strategię "równoległą", polegającą na obliczaniu jednocześnie ${\displaystyle e_1}$ i ${\displaystyle e_2}$:

${\displaystyle \frac{e_1,s⟹,e{\text{'}}_1,s}{e_1+e_2,s⟹,e{\text{'}}_1+e_2,s}\frac{e_2,s⟹,e{\text{'}}_2,s}{e_1+e_2,s⟹,e_1+e{\text{'}}_2}{n}_1+n_2,s⟹,n,s\text{ o ile }n=n_1+n_2}$

Bardziej precyzyjnie mówiąc, małe kroki obliczające obydwa podwyrażenia przeplatają się, i to w dowolny sposób. Ta dowolność prowadzi do niedeterminizmu, czyli do sytuacji, gdy kolejna (następna) konfiguracja nie jest wyznaczona jednoznacznie. Jest tak, gdyż możemy mieć do wyboru dwie różne tranzycje

${\displaystyle e_1+e_2,s⟹,e{\text{'}}_1+e_2,s{e}_1+e_2,s⟹,e_1+e{\text{'}}_2,s}$

Zauważmy natomiast, że kolejność przeplatania się małych kroków obliczających ${\displaystyle e_1}$ i ${\displaystyle e_2}$ nie wpływa w tym przypadku na końcową wartość całego wyrażenia.

Na koniec reguły dla wyrażenia warunkowego.

${\displaystyle \frac{e_1,s⟹,e{\text{'}}_1,s}{\mathbf{𝐢}\mathbf{𝐟}{e}_1\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}{e}_2\mathbf{𝐞}\mathbf{𝐥}\mathbf{𝐬}\mathbf{𝐞}{e}_3,s⟹,\mathbf{𝐢}\mathbf{𝐟}e{\text{'}}_1\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}{e}_2\mathbf{𝐞}\mathbf{𝐥}\mathbf{𝐬}\mathbf{𝐞}{e}_3,s}}$

${\displaystyle \mathbf{𝐢}\mathbf{𝐟}n\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}{e}_2\mathbf{𝐞}\mathbf{𝐥}\mathbf{𝐬}\mathbf{𝐞}{e}_3,s⟹,e_2,s\text{ o ile }n\ne 0}$

${\displaystyle \mathbf{𝐢}\mathbf{𝐟}n\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}{e}_2\mathbf{𝐞}\mathbf{𝐥}\mathbf{𝐬}\mathbf{𝐞}{e}_3,s⟹,e_3,s\text{ o ile }n=0}$

Podobnie jak poprzednio, stan powinien opisywać wartości przypisane zmiennym. Tym razem jednak uwzględnimy niezainicjowane zmienne, czyli zmienne bez żadnej wartości. Przyjmijmy zatem, że stan to skończona funkcja częściowa z ${\displaystyle \mathbf{𝐕}\mathbf{𝐚}\mathbf{𝐫}}$ do ${\displaystyle \mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}}$. Oznaczmy symbolem ${\displaystyle \mathbf{𝐒}\mathbf{𝐭}\mathbf{𝐚}\mathbf{𝐭}\mathbf{𝐞}}$ zbiór wszystkich takich funkcji: ${\displaystyle \mathbf{𝐒}\mathbf{𝐭}\mathbf{𝐚}\mathbf{𝐭}\mathbf{𝐞}=\mathbf{𝐕}\mathbf{𝐚}\mathbf{𝐫}{\to }_{\mathrm{f}\mathrm{i}\mathrm{n}}\mathbf{𝐍}\mathbf{𝐮}\mathbf{𝐦}}$. Naturalnym stanem początkowym jest stan "pusty", tzn. pusta funkcja częściowa, który będziemy oznaczać symbolem ${\displaystyle \mathrm{\varnothing }}$. Wartość wyrażenia ${\displaystyle e}$ w stanie początkowym wynosi ${\displaystyle n}$, o ile zachodzi:

${\displaystyle e,\mathrm{\varnothing }{⟹}^{*}n}$

Będziemy potrzebowac tranzycji dwóch postaci, podobnie jak poprzednio, ale pierwsza postać będzie nieco ogólniejsza:

${\displaystyle e,s⟹,e^{\prime },s^{\prime }}$

Tranzycja ta oznacza mały krok w trakcie obliczania wyrażenia ${\displaystyle e}$ w stanie ${\displaystyle s}$, w wyniku którego ${\displaystyle e}$ wyewoluowało do ${\displaystyle e^{\prime }}$, a nowym stanem jest ${\displaystyle s^{\prime }}$. Stan może się teraz zmienić na skutek deklaracji zmiennych.

Spróbujmy rozszerzyć semantykę z poprzedniego zadania. Ponieważ stan jest funkcją częściową, musimy zmienić niektóre reguły, np.

${\displaystyle x,s⟹,n,s\text{ o ile }s(x)\text{ jest określone i }s(x)=n}$

Następnie dodajemy reguły dla wyrażenia ${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=e_1\mathbf{𝐢}\mathbf{𝐧}{e}_2}$. Gdy ${\displaystyle e_1}$ jest już obliczone, wystarczy reguła:

${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=n\mathbf{𝐢}\mathbf{𝐧}{e}_2,s⟹,e_2,s[x\mapsto n]}$

Notacja ${\displaystyle s[x\mapsto n]}$ oznacza stan ${\displaystyle s}$, który zmodyfikowano przypisując zmiennej ${\displaystyle x}$ wartość ${\displaystyle n}$, niezależnie od tego, czy ${\displaystyle s(x)}$ było określone, czy nie, i pozostawiając niezmienione wartości dla pozostałych zmiennych. Formalnie

${\displaystyle s[x\mapsto n](y)=\{\begin{array}{ll}n& y=x\\ s(y)& y\ne x\end{array}}$

W szczególności dla ${\displaystyle y\ne x}$, ${\displaystyle s[x\mapsto n](y)}$ jest określone wtedy i tylko wtedy, gdy ${\displaystyle s(y)}$ jest określone.

Natomiast aby obliczyc ${\displaystyle e_1}$, potrzebujemy reguły:

${\displaystyle \frac{e_1,s⟹,e{\text{'}}_1,s^{\prime }}{\mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=e_1\mathbf{𝐢}\mathbf{𝐧}{e}_2,s⟹,\mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=e{\text{'}}_1\mathbf{𝐢}\mathbf{𝐧}{e}_2,s^{\prime }}}$

Zwróćmy uwagę, że stan ${\displaystyle s^{\prime }}$ może być różny od ${\displaystyle s}$, np. dlatego, że wewnątrz ${\displaystyle e_1}$ znajduje się podwyrażenie ${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}y=\dots }$.

Pytanie: czy taka semantyka jest poprawna?

Niestety nie, gdyż nie uwzględniamy ograniczonego zasięgu zmiennej. Rzućmy okiem na przykład:

${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=(\mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}z=4\mathbf{𝐢}\mathbf{𝐧}z+z+z)\mathbf{𝐢}\mathbf{𝐧}z}$

Według naszych intencji to wyrażenie nie ma wartości, gdyż ostatnie odwołanie do ${\displaystyle z}$ jest błędne. Natomiast według powyższych reguł mamy

${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=(\mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}z=4\mathbf{𝐢}\mathbf{𝐧}z+z+z)\mathbf{𝐢}\mathbf{𝐧}z,\mathrm{\varnothing }⟹,\mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=z+z+z\mathbf{𝐢}\mathbf{𝐧}z,\mathrm{\varnothing }[z\mapsto 4]⟹,\dots ⟹,\mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=12\mathbf{𝐢}\mathbf{𝐧}z,\mathrm{\varnothing }[z\mapsto 4]⟹,12,\mathrm{\varnothing }[z\mapsto 4]⟹,12!}$

Nasz błąd polega na tym, że po zakończeniu obliczania podwyrażenia ${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}z=4\mathbf{𝐢}\mathbf{𝐧}z+z+z}$ "zapominamy" przywrócić zmiennej ${\displaystyle z}$ poprzednią wartość (a właściwie brak wartości w przykładzie powyżej). Przedyskutujmy kilka wariantów.

Wariant 1

Wygodne i eleganckie rozwiązanie tego problemu jest możliwe, jeśli rozszerzymy składnię naszego języka. Intuicyjnie, reguła

${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=n\mathbf{𝐢}\mathbf{𝐧}{e}_2,s⟹,e_2,s[x\mapsto n]}$

powinna zostać zastąpiona przez

${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=n\mathbf{𝐢}\mathbf{𝐧}{e}_2,s⟹e_2\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}\text{przywróć wartość zmiennej x},s[x\mapsto n]}$

czyli potrzebujemy konstrukcji składniowej, która polega na obliczeniu wyrażenia ${\displaystyle e_2}$, a następnie na przypisaniu zmiennej ${\displaystyle x}$ danej wartości. Rozszerzmy zatem składnię następujaco:

${\displaystyle e::=\dots |e\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}x:=n}$

Wyrażenie ${\displaystyle e\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}x:=n}$ jest w pewnym sensie dualne do ${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=n\mathbf{𝐢}\mathbf{𝐧}e}$, gdyż jedyna (choć niewątpliwie istotna) różnica między nimi to kolejność obliczenia ${\displaystyle e}$ i przypisania wartości na zmienną ${\displaystyle x}$. Oto nowa reguła

${\displaystyle \mathbf{𝐥}\mathbf{𝐞}\mathbf{𝐭}x=n\mathbf{𝐢}\mathbf{𝐧}{e}_2,s⟹,e_2\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}x:=n^{\prime },s[x\mapsto n]\text{ o ile }s(x)=n^{\prime }}$

Pewna trudność pojawia się w sytuacji, gdy ${\displaystyle s(x)}$ jest nieokreślone, czyli gdy zmienna ${\displaystyle x}$ jest niezainicjowana -- reguła powyższa nie obejmuje wogóle takiej sytuacji. Najprostszym sposobem rozwiązania tej trudności jest rozszerzenie konstrukcji ${\displaystyle e\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}x:=n}$:

${\displaystyle e::=\dots |e\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}x:=n|e\mathbf{𝐭}\mathbf{𝐡}\mathbf{𝐞}\mathbf{𝐧}x:=\mathrm{\perp }}$