Учебное пособие по методам Флойда, страница 3
Описание файла
PDF-файл из архива "Учебное пособие по методам Флойда", который расположен в категории "". Всё это находится в предмете "формальная спецификация и верификация программ" из 9 семестр (1 семестр магистратуры), которые можно найти в файловом архиве МГУ им. Ломоносова. Не смотря на прямую связь этого архива с МГУ им. Ломоносова, его также можно найти и в других разделах. .
Просмотр PDF-файла онлайн
Текст 3 страницы из PDF
Таким образом,верна следующая лемма:Лемма 3. Пусть дана программа P. Пусть предикаты , ', и' таковы, что формулы ' и ' истинны. Тогда• из {}P{} следует {'}P{} и {}P{'},• из P следует 'P и P'.Следующая лемма позволяет по нескольким утверждениям очастичной и полной корректности получать новые утверждения:Лемма 4.
Пусть дана программа P. Тогда для любых предикатов, 1 и 2 выполнены следующие утверждения:• из {}P{1} и {}P{2} следует {}P{1 ∧ 2},• из P1 и P2 следует P1 ∧ 2.Верификация программы целочисленного деленияВ дальнейшем мы сформулируем методы доказательства полнойкорректности программ в общем случае, но сначала обратимся кпримеру.Для этого вернемся к программе целочисленного деления, блоксхема которойпредставлена на рисунке 2 (далее она будетобозначаться как Pdiv). Мы докажем ее полную корректностьотносительно спецификации, заданной следующими предикатами: (x1 0) ∧ (x2 > 0) (x1 = z1x2 + z2) ∧ (0 z2 < x2)20Входной предикат спецификации утверждает, что нас будет интересовать поведение программы только на неотрицательных значениях переменной x1 и положительных значениях переменной x2.Выходной предикат определяет, что значения выходных переменных программы должно удовлетворять определению целочисленного деления с остатком.Доказательство полной корректности будет разбито на два этапа.
Сначала мы докажем, что программа является частично корректной относительно входного предиката 0 (x1 0) ∧ (x2 0) ивыходного предиката . А затем мы докажем завершаемость программы на . Из этого, по леммам 2 и 3, будет следовать требуемоеутверждение.Заметим, что входной предикат 0, используемый при доказательстве частичной корректности, является более слабым, чем .Это связано с тем, что при значении входной переменной x2 равном 0, программа является частично корректной, но не завершается.Частичная корректность.
Поставим в соответствие начальному оператору блок-схемы входной предикат 0, завершающему оператору – выходной предикат , а ребру между оператором соединения и условным оператором – промежуточный предикат p, задаваемый формулой p(x1, x2, y1, y2) (x1 = y1x2 + y2) ∧ (y2 0).
Это ребро на рисунке 3 обозначено буквой B.1. Рассмотрим путь от начального оператора программы до ребра B. После выполнения начального оператора переменные принимают следующие значения:21x1x2y1y2x1x20x1Таким образом, p(x1, x2, y1, y2) (x1 = y1x2 + y2) ∧ (y2 0) (x1= 0x2 + x1) ∧ (x1 0) (x1 0). А последнее неравенство являетсяистинным в предположении, что выполнено предусловие программы 0 (x1 0) ∧ (x2 0). То есть: 0 (x1 0).2. Предположим, что предикат p истинен в точке B и рассмотрим путь B-D-B.После выполнения условного оператора значения переменныхне изменяются, то есть в точке D предикат p также будет истинен,а так как точка D лежит на ребре, помеченном символом T, то вточке D будет истинно следующее утверждение:(x1 = y1x2 + y2) ∧ (y2 0) ∧ (y2 x2)A: 0( x1, x2 ) (x1 0) (x2 0)START:( y1, y2 ) ( 0, x1 )p( x1, x2, y1, y2 ) BTDy2 x2( y1, y2 ) ( y1+1, y2- x2 )F(x1 = y1x2 + y2) ∧ (y2 0)EHALT:( z1, z2 ) ( y1, y2 )С: ( x1, x2, z1, z2 ) (x1 = z1x2 + z2) (0 z2 < x2)Рисунок 3.
Блок-схема целочисленного деления и её предикатыДокажем,чтопослевыполненияпоследующегоприсваивания предикат p также будет истинен:D: (x1 y1x2 + y2) ∧ (y2 0) ∧ (y2 x2)22оператораp( x1, x2, y1 + 1, y2 x2 ) (x1 (y1+1)x2 + y2 x2) ∧B:(y2 x2 0)поэтому нужно показать, что истинно следующее утверждение:(x1 y1x2 + y2) ∧ (y2 0) ∧ (y2 x2) (x1 (y1+1)x2 + y2 x2) ∧ (y2 x2 0)(x1 y1x2 + y2) ∧ (y2 0) ∧ (y2 x2) (x1 y1x2 + y2) ∧ (y2 x2 0)T3. И в завершении рассмотрим последний путь: от точки B дозавершающего оператора.Предположим, что в точке B истинен предикат p. Тогда припопадании в точку E будет истинно следующее утверждение:(x1 = y1x2 + y2) ∧ (y2 0) ∧ (y2 < x2)Докажем, что после завершающего оператора будет истиненвыходной предикат :E: (x1 = y1x2 + y2) ∧ (y2 0) ∧ (y2 < x2)C: ( x1, x2, y1, y2 ) (x1 = y1x2 + y2) ∧ (0 y2 < x2)дляэтогонеобходимопоказать,чтоистинноследующееутверждение:(x1 = y1x2 + y2) ∧ (y2 0) ∧ (y2 < x2) (x1 = y1x2 + y2) ∧ (0 y2 < x2)TИз рассмотренных свойств программы следует, что для любогоконечного вычисления программы целочисленного деления призначениях входных переменных, удовлетворяющих предусловию,значения выходных переменных будут удовлетворять постусловию.Или, другими словами, что программа целочисленного деления яв-23ляетсячастичнокорректнойотносительноспецификации0 = (0, ).Завершаемость.
До сих пор мы доказали корректность программы только условно. Мы доказали, что если программа завершается, то ее результат удовлетворяет предъявляемым к нему требованиям. Теперь докажем, что программа целочисленного делениядействительно завершается при значениях входных переменных,удовлетворяющих входному предикату .Во время доказательства частичной корректности программымы доказали, что если значения входных переменных удовлетворяют предикату 0, то при всяком прохождении точки B значениявходныхипромежуточныхпеременныхбудутудовлетворятьследующему условию: (x1 = y1x2 + y2) ∧ (y2 0). Из этого следует,что если значения входных переменных удовлетворяют более сильному предикату , то при всяком прохождении точки B значениепромежуточной переменной y2 будет неотрицательным.
С другойстороны, значения входных переменных не изменяются в ходе выполнения программы, поэтому предикат является истинным влюбой промежуточной точке. Отсюда следует, что в точке B будетвыполнено следующее условие: (y2 0) ∧ (x2 0).Рассмотрим цикл B-D-B. После прохождения этого пути значение переменной y2 уменьшится на положительную величину (x2). Сдругой стороны, значение переменной y2 останется неотрицательным. И так как не существует бесконечной убывающей последовательности неотрицательных целых чисел, то цикл B-D-B не можетвыполняться бесконечное число раз, если значения входных переменных программы удовлетворяли предикату . Следовательно,24программацелочисленногоделениязавершаетсянавходномпредикате .Мы доказали, что {0}Pdiv{} и PdivT. Отсюда, по леммам 2 и3, следует Pdiv, то есть полная корректность программы целочисленного деления относительно и .Задачи и упражнения1.3.1 Дляуказаннойнижеблок-схемыикаждойизспецификаций ответить на вопрос, является ли эта блок-схемачастично корректной относительной этой спецификации, являетсяли эта блок-схема полностью корректной относительно той жеспецификации.
Множество переменных состоит из одной входной,двух промежуточных и одной выходной переменной V = {x, y1, y2,z}. Доменом всех переменных является множество целых чисел.START:(y1, y2) ← (x, 0)THALT:z ← y2a) (x) = (x = 0)Fy1 = 0(y1, y2) ← (y1-1, x + y2)c) (x) = (x ≥ 0)(x, z) = (z = 0)b) (x) = (x = 0)(x, z) = (z = x2)d) (x) = T(x, z) = (z = 1)(x, z) = (z = x2)25(x, z) = (z > x)e) (x) = (|x| > 10)(x, z) = (|z| > 100)g) (x) = (x ≥ 0)(x, z) = (z ≥ x)f) (x) = (x > 0)1.3.2 Для каждой из указанных ниже спецификаций приведитеследующие блок-схемы или обоснуйте, почему они не существуют.Доменом всех входных, промежуточных и выходных переменныхдолжно быть множество целых чисел.
В качестве функций,приписанных операторам блок-схемы, можно использовать любуюфункцию, задаваемую арифметической формулой над операциямисложения, вычитания и умножения, и операциями сравнения(равно, неравно, больше, меньше и т. п.).• не являющуюся частично корректной относительно даннойспецификации;• являющуюсячастичнокорректной,нонеявляющуюсяполностью корректной относительно данной спецификации;• являющуюсяотносительночастично,даннойнонеполностьюспецификации,икорректнойприэтомзавершающуюся на максимально возможном числе входныхданных (т. е. завершающуюся при всех значениях входныхданных,удовлетворяющихпредусловию,прикоторыхсуществуют значения выходных переменных, на которыхвыполнено постусловие);• являющуюся полностью корректной относительно даннойспецификации.a) (x) = T (x, z) = Tb) (x) = T (x, z) = F26c) (x) = F(x, z) = Td) (x) = (x = 0)(x, z) = (z = 0)e) (x1, x2) = (x1 = x2)(x1, x2, z) = (x1 = z + x2)f) (x1, x2) = (x1 > x2 ≥ 0)(x1, x2, z1, z2) = (z1 > x1 > z2 > x2)g) (x1, x2) = (0 > x1 > x2)(x1, x2, z1, z2) = (x12 > z1 > x22 > z2)h) (x1, x2) = (x1 > x2 ≥ 0)(x1, x2, z1, z2) = (x22 > z1 > x12 > z2)i) (x1) = (x1 > 0)(x1, z1, z2) = (z1 = x1 * z2) ∧ (z1 < z2)j) (x1, x2) = (x1 + x2 < 3)(x1, x2, z1, z2) = (z1 + x2 > z2) ∧ (z1 < x1 + z2)1.3.3 Доказать или опровергнуть утверждение.