程序验证（十）：演绎验证（上）

程序验证（十）：演绎验证（上）

基础路径(Basic Approach)

给定一个程序$c$，由以下specification注解：
$\{P\}c\{Q\}$
为了证明这个三元组，我们构造一个验证条件(verification condition， VC)的集合

• 每个VC都是某个理论的一阶公式
• 如果所有的VC都是永真的，那么$\{P\}c\{Q\}$就是永真的

谓词转换器

给定一个断言$Q$和一个程序$c$，一个谓词转换器(predicate transformer)是一个函数，输出另一个断言
最弱前置条件(weakest precondition)谓词转换器产生一个$wp(c,Q)$，使得

• $[wp(c,Q)]c[Q]$是永真的，且
• 对于任何满足$[P]c[Q]$的$P$，$P\Rightarrow wp(c,Q)$，也就是说，$wp(c,Q)$是这种断言中最弱的。
  广义最弱前置条件(weakest liberal precondition)谓词转换器产生一个$wlp(c,Q)$，使得
• $\{wlp(c,Q)\}c\{Q\}$是永真的，且
• $wlp(c,Q)$是这种断言中最弱的
  $wlp$为我们提供了一种逆向的思路，这也符合我们的直觉。

$wlp$的定义

我们用霍尔三元组来定义$wlp$
比如$wlp(y:=x+1, (\forall x.x<z\to x<y)\to x+1\le y)$=?
注意，答案并不是$(\forall x.x<z\to x<x+1)\to x+1\le x+1$
因为当我们用$x+1$替换$y$以处理$(\forall x.x<z\to x<y)$时，变量$x$是被捕获的(captured)

捕获避免代入(capture-avoiding substitution)

当我们扩展$P[a/x]$时，我们需要：

• 只代入$x$的自由形式(free occurence)
• 将$a$中不自由的变量重命名以避免捕获

数组赋值规则

数组赋值的霍尔规则可以表示为：
$AsgnArr~\frac{}{\{Q[x\langle a_1\triangleleft a_2\rangle /x]\}x[a_1]:=a_2\{Q\}}$
相应的转换器即为
$wlp (x[a_1]:=a_2,Q)=Q[x\langle a_1\triangleleft a_2\rangle /x]$
举例：
计算$wlp(b[i]:=5,b[i]=5)$
$wlp(b[i]:=5,b[i]=5)=(b\langle\triangleleft 5\rangle [i]=5)=(5=5)=true$
计算$wlp(b[n]:=x,\forall i.1\le i<n\to b[i]\le b[i+1])$
进行代入
$wlp(b[n]:=x,\forall i.1\le i<n\to b[i]\le b[i+1])=\forall i.1\le i<n\to (b\langle\triangleleft x\rangle)[i]\le (b\langle n\triangleleft x\rangle)[i+1]=(b\langle n\triangleleft x\rangle)[n-1]\le (b\langle n\triangleleft x\rangle)[n]\wedge \forall i.1\le i<n-1\to (b\langle n\triangleleft x\rangle)[i]\le (b\langle n\triangleleft x\rangle)[i+1]$

序列(sequencing)

依据霍尔规则
$Seq~\frac{\{P\}c_1\{P'\}\qquad\{P'\}c_2\{Q\}}{\{P\}c_1;c_2\{Q\}}$
相应的谓词转换器即为
$wlp(c_1;c_2,Q)=wlp(c_1,wlp(c_2,Q))$

条件

依据霍尔规则
$If~\frac{\{P\wedge b\}c_1\{Q\}\qquad\{P\wedge\neg b\}c_2\{Q\}}{\{P\}\mathbf{if}~b~\mathbf{then}~c_1~\mathbf{else}~c_2\{Q\}}$
相应的转换器即为
$wlp(\mathbf{if}~b~\mathbf{then}~c_1~\mathbf{else}~c_2,Q)\\ =(b\to wlp(c_1,Q))\wedge (\neg b\to wlp(c_2,Q))$

while循环

依据等价关系
$\mathbf{while}~b~\mathbf{do}~c\equiv \mathbf{if}~b~\mathbf{then}~c;\mathbf{while}~b~\mathbf{do}~c~\mathbf{else}~\mathbf{skip}$
相应的$wlp$即为
此处略，最后转了个圈又回来了。

近似最弱前置条件

一般来说，我们无法总是算出循环的$wlp$，比如上面的情况。
但是，我们可以借助于循环不变式来近似它
下面，我们使用这种方式表示循环：
$\mathbf{while}~b~\mathbf{do}\{I\}c$
这里$I$是由程序员提供的循环不变量
最为直观的想法是令
$wlp(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=I$
但此时$I$可能不是最弱的前置条件
如果我们草率地认为$wlp(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=I$，我们漏了两件事情：

• 没有检查$I\wedge\neg b$得到$Q$
• 我们不知道$I$是否真的是一个循环不变式

所以我们需要构造一个额外的验证条件(verification condition)的集合，
$vc(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=\begin{cases}I\wedge \neg b\Rightarrow Q\\I\wedge b\Rightarrow wlp(c,I)\end{cases}$
为了在执行循环后确保$Q$能够实现，需要满足两个条件：

• $vc(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)$中的每一个公式都是永真的
• $wlp(\mathbf{while}~b~\mathbf{do}\{I\}c,Q)=I$一定是永真的

构造vc

while是唯一一个引入额外条件的命令，但是其他的声明可能也包含循环，所以：

• $vc(x:=a,Q)=\empty$
• $vc(c_1;c_2,Q)=vc(c_1,wlp(c_2,Q))\cup vc(c_2,Q)$
• $vc(\mathbf{if}~b~\mathbf{then}~c_1~\mathbf{else}~c_2,Q)=vc(c_1,Q)\cup vc(c_2,Q)$

综合

综上，我们得到验证$\{P\}c\{Q\}$的通用方法：

1. 计算$P'=wlp(c,Q)$
2. 计算$vc(c,Q)$
3. 检查$P\to P'$的永真性
4. 检查每个$F\in vc(c,Q)$的永真性

若3，4检验均通过，那么$\{P\}c\{Q\}$是永真的，但反之不一定成立，因为循环不变式可能不是最弱的前置条件。