程序驗證（十）：演繹驗證（上）

程序驗證（十）：演繹驗證（上）

基礎路徑(Basic Approach)

給定一個程序$c$，由以下specification註解：
$\{P\}c\{Q\}$
爲了證明這個三元組，我們構造一個驗證條件(verification condition， VC)的集合

• 每個VC都是某個理論的一階公式
• 如果所有的VC都是永真的，那麼$\{P\}c\{Q\}$就是永真的

謂詞轉換器

給定一個斷言$Q$和一個程序$c$，一個謂詞轉換器(predicate transformer)是一個函數，輸出另一個斷言
最弱前置條件(weakest precondition)謂詞轉換器產生一個$wp(c,Q)$，使得

• $[wp(c,Q)]c[Q]$是永真的，且
• 對於任何滿足$[P]c[Q]$的$P$，$P\Rightarrow wp(c,Q)$，也就是說，$wp(c,Q)$是這種斷言中最弱的。
  廣義最弱前置條件(weakest liberal precondition)謂詞轉換器產生一個$wlp(c,Q)$，使得
• $\{wlp(c,Q)\}c\{Q\}$是永真的，且
• $wlp(c,Q)$是這種斷言中最弱的
  $wlp$爲我們提供了一種逆向的思路，這也符合我們的直覺。

$wlp$的定義

我們用霍爾三元組來定義$wlp$
比如$wlp(y:=x+1, (\forall x.x<z\to x<y)\to x+1\le y)$=?
注意，答案並不是$(\forall x.x<z\to x<x+1)\to x+1\le x+1$
因爲當我們用$x+1$替換$y$以處理$(\forall x.x<z\to x<y)$時，變量$x$是被捕獲的(captured)

捕獲避免代入(capture-avoiding substitution)

當我們擴展$P[a/x]$時，我們需要：

• 只代入$x$的自由形式(free occurence)
• 將$a$中不自由的變量重命名以避免捕獲

數組賦值規則

數組賦值的霍爾規則可以表示爲：
$AsgnArr~\frac{}{\{Q[x\langle a_1\triangleleft a_2\rangle /x]\}x[a_1]:=a_2\{Q\}}$
相應的轉換器即爲
$wlp (x[a_1]:=a_2,Q)=Q[x\langle a_1\triangleleft a_2\rangle /x]$
舉例：
計算$wlp(b[i]:=5,b[i]=5)$
$wlp(b[i]:=5,b[i]=5)=(b\langle\triangleleft 5\rangle [i]=5)=(5=5)=true$
計算$wlp(b[n]:=x,\forall i.1\le i<n\to b[i]\le b[i+1])$
進行代入
$wlp(b[n]:=x,\forall i.1\le i<n\to b[i]\le b[i+1])=\forall i.1\le i<n\to (b\langle\triangleleft x\rangle)[i]\le (b\langle n\triangleleft x\rangle)[i+1]=(b\langle n\triangleleft x\rangle)[n-1]\le (b\langle n\triangleleft x\rangle)[n]\wedge \forall i.1\le i<n-1\to (b\langle n\triangleleft x\rangle)[i]\le (b\langle n\triangleleft x\rangle)[i+1]$

序列(sequencing)

依據霍爾規則
$Seq~\frac{\{P\}c_1\{P'\}\qquad\{P'\}c_2\{Q\}}{\{P\}c_1;c_2\{Q\}}$
相應的謂詞轉換器即爲
$wlp(c_1;c_2,Q)=wlp(c_1,wlp(c_2,Q))$

條件

依據霍爾規則
$If~\frac{\{P\wedge b\}c_1\{Q\}\qquad\{P\wedge\neg b\}c_2\{Q\}}{\{P\}\mathbf{if}~b~\mathbf{then}~c_1~\mathbf{else}~c_2\{Q\}}$
相應的轉換器即爲
$wlp(\mathbf{if}~b~\mathbf{then}~c_1~\mathbf{else}~c_2,Q)\\ =(b\to wlp(c_1,Q))\wedge (\neg b\to wlp(c_2,Q))$

while循環

依據等價關係
$\mathbf{while}~b~\mathbf{do}~c\equiv \mathbf{if}~b~\mathbf{then}~c;\mathbf{while}~b~\mathbf{do}~c~\mathbf{else}~\mathbf{skip}$
相應的$wlp$即爲
此處略，最後轉了個圈又回來了。

近似最弱前置條件

一般來說，我們無法總是算出循環的$wlp$，比如上面的情況。
但是，我們可以藉助於循環不變式來近似它
下面，我們使用這種方式表示循環：
$\mathbf{while}~b~\mathbf{do}\{I\}c$
這裏$I$是由程序員提供的循環不變量
最爲直觀的想法是令
$wlp(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=I$
但此時$I$可能不是最弱的前置條件
如果我們草率地認爲$wlp(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=I$，我們漏了兩件事情：

• 沒有檢查$I\wedge\neg b$得到$Q$
• 我們不知道$I$是否真的是一個循環不變式

所以我們需要構造一個額外的驗證條件(verification condition)的集合，
$vc(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=\begin{cases}I\wedge \neg b\Rightarrow Q\\I\wedge b\Rightarrow wlp(c,I)\end{cases}$
爲了在執行循環後確保$Q$能夠實現，需要滿足兩個條件：

• $vc(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)$中的每一個公式都是永真的
• $wlp(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=I$一定是永真的

構造vc

while是唯一一個引入額外條件的命令，但是其他的聲明可能也包含循環，所以：

• $vc(x:=a,Q)=\empty$
• $vc(c_1;c_2,Q)=vc(c_1,wlp(c_2,Q))\cup vc(c_2,Q)$
• $vc(\mathbf{if}~b~\mathbf{then}~c_1~\mathbf{else}~c_2,Q)=vc(c_1,Q)\cup vc(c_2,Q)$

綜合

綜上，我們得到驗證$\{P\}c\{Q\}$的通用方法：

1. 計算$P'=wlp(c,Q)$
2. 計算$vc(c,Q)$
3. 檢查$P\to P'$的永真性
4. 檢查每個$F\in vc(c,Q)$的永真性

若3，4檢驗均通過，那麼$\{P\}c\{Q\}$是永真的，但反之不一定成立，因爲循環不變式可能不是最弱的前置條件。