логика Хоара

Логика Хоара (также известная как логика Флойда-Хора или правила Хоара ) — это формальная система с набором логических правил для строгого рассуждения о правильности компьютерных программ . Она была предложена в 1969 году британским ученым-компьютерщиком и логиком Тони Хоаром и впоследствии усовершенствована Хоаром и другими исследователями. ^[1] Оригинальные идеи были заложены в работе Роберта Флойда , опубликовавшего аналогичную систему ^[2] для блок-схем .

Хоар тройной

Центральной особенностью логики Хоара является тройка Хоара . Тройка описывает, как выполнение фрагмента кода меняет состояние вычислений. Тройка Хоара имеет вид

\{P\}C\{Q\}

где и — утверждения , а — команда . ^{[примечание 1]} называется предусловием и постусловием : когда предусловие выполнено , выполнение команды устанавливает постусловие. Утверждения — это формулы в логике предикатов . $P$ $Q$ $C$ $P$ $Q$

Логика Хоара предоставляет аксиомы и правила вывода для всех конструкций простого императивного языка программирования . В дополнение к правилам для простого языка, описанным в оригинальной статье Хоара, с тех пор Хоар и многие другие исследователи разработали правила для других языковых конструкций. Существуют правила для параллелизма , процедур , переходов и указателей .

Частичная и полная правильность

Используя стандартную логику Хоара, можно доказать только частичную правильность . Полная корректность дополнительно требует завершения , что можно доказать отдельно или с помощью расширенной версии правила While. ^[3] Таким образом, интуитивное прочтение тройки Хоара таково: Всякий раз, когда сохраняется состояние до выполнения , то будет сохраняться и после, или не завершается. В последнем случае «после» не существует, поэтому может быть вообще любое утверждение. Действительно, можно выбрать ложь, чтобы выразить то, что не прекращается. $P$ $C$ $Q$ $C$ $Q$ $Q$ $C$

«Завершение» здесь и далее в этой статье подразумевается в более широком смысле, что вычисление в конечном итоге будет завершено, то есть подразумевает отсутствие бесконечных циклов; это не означает отсутствия нарушений предела реализации (например, деления на ноль), что приводит к преждевременной остановке программы. В своей статье 1969 года Хоар использовал более узкое понятие завершения, которое также влекло за собой отсутствие нарушений предела реализации, и выразил свое предпочтение более широкому понятию завершения, поскольку оно сохраняет утверждения независимыми от реализации: ^[4]

Еще один недостаток аксиом и правил, приведенных выше, заключается в том, что они не дают оснований для доказательства успешного завершения программы. Невозможность завершения может быть связана с бесконечным циклом; или это может быть связано с нарушением ограничения, определенного реализацией, например, диапазона числовых операндов, размера хранилища или ограничения времени операционной системы. Таким образом, обозначение « » следует интерпретировать «при условии, что программа успешно завершается, свойства ее результатов описываются ». Довольно легко адаптировать аксиомы так, чтобы их нельзя было использовать для предсказания «результатов» незавершающихся программ; но фактическое использование аксиом теперь будет зависеть от знания многих функций, зависящих от реализации, например, размера и скорости компьютера, диапазона чисел и выбора метода переполнения. Помимо доказательств отсутствия бесконечных циклов, вероятно, лучше доказать «условную» корректность программы и полагаться на то, что реализация выдаст предупреждение, если ей пришлось отказаться от выполнения программы в результате нарушения какого-либо условия. предел реализации. $P\{Q\}R$ $R$

Правила

Схема аксиом пустого утверждения

Правило пустого оператора утверждает, что оператор пропуска не меняет состояние программы, поэтому все, что истинно до пропуска, остается истинным и после него. ^{[заметка 2]}

{\dfrac {}{\{P\}{\texttt {skip}}\{P\}}}

Схема аксиом присваивания

Аксиома присваивания гласит, что после присваивания любой предикат, который ранее был истинным для правой части присваивания, теперь справедлив для переменной. Формально, пусть $P$ — утверждение, в котором переменная $x$ свободна . Затем:

{\dfrac {}{\{P[E/x]\}x:=E\{P\}}}

где обозначает утверждение $P$ $,$ в котором каждое свободное вхождение x заменено выражением $E$ . $P[E/x]$

Схема аксиом присваивания означает, что истинность эквивалентна истинности после присваивания $P$ . Таким образом , согласно аксиоме присваивания, если бы оно было истинным до присвоения, то $P$ было бы истинным после этого. И наоборот, если до оператора присваивания было ложь (т. е. истина), то после этого $P должно быть ложным.$ $P[E/x]$ $P[E/x]$ $P[E/x]$ $\neg P[E/x]$

Примеры допустимых троек включают в себя:

$\{x+1=43\}y:=x+1\{y=43\}$
$\{x+1\leq N\}x:=x+1\{x\leq N\}$

Все предусловия, которые не изменяются выражением, могут быть перенесены в постусловие. В первом примере присвоение не меняет того факта, что , поэтому в постусловии могут присутствовать оба оператора. Формально этот результат получается путем применения схемы аксиом, где $P$ равно ( и ), что дает существование ( и ), которое, в свою очередь, можно упростить до заданного предварительного условия . $y:=x+1$ $x+1=43$ $y=43$ $x+1=43$ $P[(x+1)/y]$ $x+1=43$ $x+1=43$ $x+1=43$

Схема аксиом присваивания эквивалентна утверждению: чтобы найти предусловие, сначала возьмите постусловие и замените все вхождения левой части присваивания правой частью присваивания. Будьте осторожны и не пытайтесь сделать это наоборот, следуя этому неправильному образу мышления: ; это правило приводит к бессмысленным примерам, таким как: $\{P\}x:=E\{P[E/x]\}$

\{x=5\}x:=3\{3=5\}

Еще одно неверное правило, кажущееся заманчивым на первый взгляд : ; это приводит к бессмысленным примерам вроде: $\{P\}x:=E\{P\wedge x=E\}$

\{x=5\}x:=x+1\{x=5\wedge x=x+1\}

Хотя данное постусловие $P$ однозначно определяет предусловие , обратное неверно. Например: $P[E/x]$

$\{0\leq y\cdot y\wedge y\cdot y\leq 9\} x:=y\cdot y\{0\leq x\wedge x\leq 9\}$ ,
$\{0\leq y\cdot y\wedge y\cdot y\leq 9\} x:=y\cdot y \ {0\leq x\wedge y\cdot y\leq 9\}$ ,
$\{0\leq y\cdot y\wedge y\cdot y\leq 9\} x:=y\cdot y\{0\leq y\cdot y\wedge x\leq 9\}$ , и
$\{0\leq y\cdot y\wedge y\cdot y\leq 9\} x:=y\cdot y \ {0\leq y\cdot y\wedge y\cdot y\leq 9\}$

являются действительными экземплярами схемы аксиом присваивания.

Аксиома присвоения, предложенная Хоаром, не применяется , когда к одному и тому же хранимому значению может относиться более одного имени. Например,

\{y=3\}x:=2\{y=3\}

неверно, если $x$ и $y$ относятся к одной и той же переменной ( псевдоним ), хотя это правильный пример схемы аксиом присваивания (с обоими и is ). $\{P\}$ $\{P[2/x]\}$ $\{y=3\}$

Правило композиции

Правило композиции Хоара применяется к последовательно выполняемым программам $S$ и $T$ , где $S$ выполняется до $T$ и записывается ( $Q$ называется промежуточным условием ): ^[5] $S;T$

{\dfrac {\{P\}S\{Q\}\quad ,\quad \{Q\}T\{R\}}{\{P\}S;T\{R\}}}

Например, рассмотрим следующие два примера аксиомы присваивания:

\{x+1=43\}y:=x+1\{y=43\}

\{y=43\}z:=y\{z=43\}

По правилу последовательности можно сделать вывод:

\{x+1=43\}y:=x+1;z:=y\{z=43\}

Другой пример показан в правом поле.

Условное правило

{\dfrac {\{B\wedge P\}S\{Q\}\quad ,\quad \{\neg B\wedge P\}T\{Q\}}{\{P\}{\texttt {if}}\ B\ {\texttt {then}}\ S\ {\texttt {else}}\ T\ {\texttt {endif}}\{Q\}}}

Условное правило гласит, что постусловие $Q$ , общее для частей then и else , также является постусловием всего оператора if...endif . ^[6] В частях then и else неотрицаемое и инвертированное условие $B$ могут быть добавлены к предварительному условию $P$ соответственно. Состояние $B$ не должно иметь побочных эффектов. Пример приведен в следующем разделе.

Это правило не содержалось в оригинальной публикации Хоара. ^[1] Однако, поскольку заявление

{\texttt {if}}\ B\ {\texttt {then}}\ S\ {\texttt {else}}\ T\ {\texttt {endif}}

имеет тот же эффект, что и конструкция одноразового цикла

{\texttt {bool}}\ b:={\texttt {true}};{\texttt {while}}\ B\wedge b\ {\texttt {do}}\ S;b:={\texttt {false}}\ {\texttt {done}};b:={\texttt {true}};{\texttt {while}}\ \neg B\wedge b\ {\texttt {do}}\ T;b:={\texttt {false}}\ {\texttt {done}}

условное правило может быть получено из других правил Хоара. Аналогичным образом правила для других производных программных конструкций, таких как for цикл, do...until цикл, переключатель , перерыв , продолжить , могут быть сведены путем преобразования программы к правилам из оригинальной статьи Хоара.

Правило следствия

{\dfrac {P_{1}\rightarrow P_{2}\quad ,\quad \{P_{2}\}S\{Q_{2}\}\quad ,\quad Q_{2}\rightarrow Q_{1}}{\{P_{1}\}S\{Q_{1}\}}}

Это правило позволяет усилить предусловие и/или ослабить постусловие . Он используется, например, для достижения буквально идентичных постусловий для частей then и else . $P_{2}$ $Q_{2}$

Например, доказательство

\{0\leq x\leq 15\}{\texttt {if}}\ x<15\ {\texttt {then}}\ x:=x+1\ {\texttt {else}}\ x:=0\ {\texttt {endif}}\{0\leq x\leq 15\}

необходимо применить условное правило, которое, в свою очередь, требует доказать

\{0\leq x\leq 15\wedge x<15\}x:=x+1\{0\leq x\leq 15\}

или упрощенно

\{0\leq x<15\}x:=x+1\{0\leq x\leq 15\}

для тогдашней части, и

\{0\leq x\leq 15\wedge x\geq 15\}x:=0\{0\leq x\leq 15\}

или упрощенно

\{x=15\}x:=0\{0\leq x\leq 15\}

для остальной части.

Однако правило назначения для части then требует выбрать $P$ как ; применение правил, следовательно, дает $0\leq x\leq 15$

\{0\leq x+1\leq 15\}x:=x+1\{0\leq x\leq 15\}

, что логически эквивалентно

\{-1\leq x<15\}x:=x+1\{0\leq x\leq 15\}

Правило последствий необходимо для усиления предусловия , полученного из правила присваивания, до требуемого для условного правила. $\{-1\leq x<15\}$ $\{0\leq x<15\}$

Аналогично, для остальной части правило присваивания дает результат

\{0\leq 0\leq 15\}x:=0\{0\leq x\leq 15\}

или эквивалентно

\{{\texttt {true}}\}x:=0\{0\leq x\leq 15\}

следовательно , правило следствий должно применяться с и и , соответственно, чтобы снова усилить предварительное условие. Неформально, эффект правила последствий заключается в том, чтобы «забыть» то, что известно при вводе части else , поскольку правило присваивания, используемое для части else , не нуждается в этой информации. $P_{1}$ $P_{2}$ $\{x=15\}$ $\{{\texttt {true}}\}$ $\{x=15\}$

Пока правят

{\dfrac {\{P\wedge B\}S\{P\}}{\{P\}{\texttt {while}}\ B\ {\texttt {do}}\ S\ {\texttt {done}}\{\neg B\wedge P\}}}

Здесь $P$ — инвариант цикла , который должен сохраняться телом цикла $S.$ После завершения цикла этот инвариант $P$ все еще сохраняется и, более того, должен был привести к завершению цикла. Как и в условном правиле, $B$ не должен иметь побочных эффектов. $\neg B$

Например, доказательство

\{x\leq 10\}{\texttt {while}}\ x<10\ {\texttt {do}}\ x:=x+1\ {\texttt {done}}\{\neg x<10\wedge x\leq 10\}

к тому времени правило требует доказать

\{x\leq 10\wedge x<10\}x:=x+1\{x\leq 10\}

или упрощенно

\{x<10\}x:=x+1\{x\leq 10\}

которое легко получить по правилу присваивания. Наконец, постусловие можно упростить до . $\{\neg x<10\wedge x\leq 10\}$ $\{x=10\}$

Другой пример: правило while можно использовать для формальной проверки следующей странной программы для вычисления точного квадратного корня $x$ из произвольного числа $a$ , даже если $x$ — целочисленная переменная, а $a$ — не квадратное число:

\{{\texttt {true}}\}{\texttt {while}}\ x\cdot x\neq a\ {\texttt {do}}\ {\texttt {skip}}\ {\texttt {done}}\{x\cdot x=a\wedge {\texttt {true}}\}

После применения правила while, когда P истинно $,$ осталось доказать

\{{\texttt {true}}\wedge x\cdot x\neq a\}{\texttt {skip}}\{{\texttt {true}}\}

что следует из правила пропуска и правила последствий.

На самом деле странная программа отчасти правильна: если бы она завершилась, то наверняка $x$ (случайно) содержал бы значение $квадратного$ корня. Во всех остальных случаях оно не будет прекращено; поэтому это не совсем правильно.

Хотя правило полной правильности

Если приведенное выше обычное правило while заменить следующим, исчисление Хоара также можно использовать для доказательства полной корректности , т. е. завершения, а также частичной корректности. Обычно здесь вместо фигурных скобок используются квадратные скобки, чтобы указать на другое представление о корректности программы.

{\dfrac {<\ {\text{is a well-founded ordering on the set}}\ D\quad ,\quad [P\wedge B\wedge t\in D\wedge t=z]S[P\wedge t\in D\wedge t<z]}{[P\wedge t\in D]{\texttt {while}}\ B\ {\texttt {do}}\ S\ {\texttt {done}}[\neg B\wedge P\wedge t\in D]}}

В этом правиле, помимо сохранения инварианта цикла, также доказывается завершение с помощью выражения $t$ , называемого вариантом цикла , значение которого строго уменьшается по отношению к обоснованному отношению $<$ на некотором множестве доменов $D$ во время каждой итерации. Поскольку $<$ обосновано, строго убывающая цепочка членов $D$ может иметь только конечную длину, поэтому $t$ не может уменьшаться вечно. (Например, обычный порядок $<$ хорошо обоснован для целых положительных чисел , но ни для целых , ни для положительных действительных чисел ; все эти множества подразумеваются в математическом, а не в вычислительном смысле, все они, в частности, бесконечны.) $\mathbb {N}$ $\mathbb {Z}$ $\mathbb {R} ^{+}$

Учитывая инвариант цикла $P$ , условие $B$ должно подразумевать, что $t$ не является минимальным элементом D $,$ поскольку в противном случае тело $S$ не могло бы уменьшать $t$ дальше, т. е. посылка правила была бы ложной. (Это одно из различных обозначений полной правильности.) ^{[примечание 3]}

Возвращаясь к первому примеру предыдущего раздела, для доказательства полной корректности

[x\leq 10]{\texttt {while}}\ x<10\ {\texttt {do}}\ x:=x+1\ {\texttt {done}}[\neg x<10\wedge x\leq 10]

правило while для полной корректности может быть применено, например, $D$ — это неотрицательные целые числа обычного порядка, а выражение $t$ — , что, в свою очередь, требует доказательства $10-x$

[x\leq 10\wedge x<10\wedge 10-x\geq 0\wedge 10-x=z]x:=x+1[x\leq 10\wedge 10-x\geq 0\wedge 10-x<z]

Неформально говоря, нам нужно доказать, что расстояние уменьшается в каждом цикле цикла, но всегда остается неотрицательным; этот процесс может продолжаться лишь конечное число циклов. $10-x$

Предыдущую цель доказательства можно упростить до

[x<10\wedge 10-x=z]x:=x+1[x\leq 10\wedge 10-x<z]

что можно доказать следующим образом:

[x+1\leq 10\wedge 10-x-1<z]x:=x+1[x\leq 10\wedge 10-x<z]

получается по правилу присваивания, а

[x+1\leq 10\wedge 10-x-1<z]

может быть усилено правилом следствий.

[x<10\wedge 10-x=z]

Во втором примере предыдущего раздела, конечно, не может быть найдено выражение $t$ , которое уменьшалось бы пустым телом цикла, поэтому завершение не может быть доказано.

Смотрите также

Примечания

^ Первоначально Хоар написал « » вместо « ». $P\{C\}Q$ $\{P\}C\{Q\}$
^ В этой статье для правил используется естественная дедуктивная нотация. Например, неформально означает: «Если выполняются и $α$ , и $β$ , то выполняется и $φ »;$ $α$ и $β$ называются предшественниками правила, $φ$ называется его последователем. Правило без антецедентов называется аксиомой и записывается как . ${\dfrac {\alpha ,\beta }{\phi }}$ ${\dfrac {}{\quad \phi \quad }}$
^ Статья Хоара 1969 года не содержала правила полной корректности; ср. его обсуждение на стр.579 (вверху слева). Например, учебник Рейнольдса ^[3] дает следующую версию правила полной корректности: когда $z$ — целочисленная переменная, которая не встречается в свободном виде в $P$ , $B$ , $S$ или $t$ , а $t$ — целочисленное выражение (переменные Рейнольдса переименован в соответствии с настройками этой статьи). ${\dfrac {P\wedge B\rightarrow 0\leq t\quad ,\quad [P\wedge B\wedge t=z]S[P\wedge t<z]}{[P]{\texttt {while}}\ B\ {\texttt {do}}\ S\ {\texttt {done}}[P\wedge \neg B]}}$

дальнейшее чтение

Роберт Д. Теннент. Спецификация программного обеспечения (учебник, включающий введение в логику Хоара, написанный в 2002 году) ISBN 0-521-00401-2

Внешние ссылки

KeY-Hoare — это полуавтоматическая система проверки, построенная на базе средства доказательства теорем KeY . Он использует исчисление Хоара для простого языка while.
j-Algo-modul Исчисление Хоара — Визуализация исчисления Хоара в программе визуализации алгоритма j-Algo

логика Хоара

Хоар тройной

Частичная и полная правильность

Правила

Схема аксиом пустого утверждения

Схема аксиом присваивания

Правило композиции

Условное правило

Правило следствия

Пока правят

Хотя правило полной правильности

Смотрите также

Примечания

Рекомендации

дальнейшее чтение

Внешние ссылки