Как обращаться с массивами во время корректных проверок в стиле Хоара

В дискуссии вокруг этого вопроса Жиль правильно упоминает, что любое доказательство правильности алгоритма, использующего массивы, должно доказывать, что нет доступа к массиву вне пределов; в зависимости от модели времени выполнения это может вызвать ошибку времени выполнения или доступ к элементам, не являющимся массивами.

Один общий метод для выполнения таких доказательств корректности (по крайней мере в старшекурснике исследований и , возможно , в автоматизированной верификации) заключается в использовании Хоаром логики . Я не знаю , что стандартный набор правил containes ничего , относящееся к массивам; кажется, что они ограничены монадическими переменными.

Я могу представить себе добавление аксиом вида

$\qquad \displaystyle \frac{}{\{0 \leq i \lt A.\mathrm{length} \land {P[A[i]/E]} \}\ A[i] := E;\ \{P\}}$

Тем не менее, мне не понятно , как бы вы иметь дело с доступом массива на правой стороне, то есть если она является частью сложного выражения в некотором заявлении х : = Е .$E$$x := E$

Как можно получить доступ к массивам в логике Хоара, чтобы можно было и нужно доказать правильность программы отсутствие недопустимых доступов?

Ответы можно считать , что мы запретить элементы массива , которые будут использоваться в других , чем заявлениях или как часть некоторых Е в й : = Е , так как это не ограничивает выразительность; всегда можно присвоить временной переменной нужное значение, т.е. запись т : = [ я ] ; я е ( т > 0 ) ... а я е ( [ я ] > 0 ) $A[i] := E$$E$$x := E$$t := A[i];\ \mathtt{if} ( t > 0 ) \dots$$\mathtt{if} ( A[i] > 0 )\dots$,

Ваша аксиома на самом деле не аксиома, в ней отсутствуют гипотезы. Простые представления логики Хоара управляют формулами вида где P и P ′ - логические формулы, а C - команда. Вы должны убедиться, что C правильно сформирован . В простых языках, таких как те, которые часто используются для первого введения в логику Хоара, правильная форма синтаксиса: обычно это вопрос проверки того, что $\{P\} C \{P'\}$$P$$P'$$C$$C$$C$соответствует грамматике без контекста и, возможно, что свободные переменные находятся в пределах допустимого набора. Если язык включает конструкции, которые имеют семантическую корректность, такую ​​как доступ к элементам массива, вам необходимо добавить гипотезы для выражения этой семантической корректности.

Формально вы можете добавить суждения, чтобы выразить исправление выражений и команд. Если выражения не имеют побочных эффектов, им не нужны постусловия, только предусловия. Например, вы можете написать правила правильной формы, такие как

$$\dfrac{\{P\} \;\; E \text{ wf}} {\{P \wedge 0 \le E < \mathrm{length}(A)\} \;\; A[E] \text{ wf}} \qquad \dfrac{\{P\} \;\; E_1 \text{ wf} \qquad \{P\} \;\; E_2 \text{ wf}} {\{P\} \;\; E_1 + E_2 \text{ wf}}$$ $$\dfrac{\{P[x\leftarrow E]\} \;\; E \text{ wf}} {\{P[x\leftarrow E]\} \;\; x := E \{P\}}$$

Другой подход заключается в лечении всех выражений , как хорошо сформирован, но чтобы сделать любое выражение , включающее в плохо сформированную расчет имеет особое значение . В языках с во время выполнения проверки границ, е т р о ¨R означает «эта программа подняла неустранимое исключение». Затем вы должны следить за ли ошибочную программу через предикат E т р о г ; программа действует только , если вы можете доказать , что его Постусловие означает ¬ Е г р о г . $\mathbf{error}$$\mathbf{error}$$\mathbf{Error}$$\neg\mathbf{Error}$

$$\dfrac{} {\{P[x\leftarrow E]\} \;\; x := E \;\; \{P \vee \mathbf{Error}\}} \qquad \dfrac{P[x\leftarrow E] \implies E \not\rightarrow \mathbf{error}} {\{P[x\leftarrow E]\} \;\; x := E \;\; \{P\}}$$

Еще один подход заключается в рассмотрении Хора тройная держать только если программа завершается корректно. Это обычный подход для программ без прерывания: постусловие выполняется, когда команда завершается, что не всегда может происходить. Если вы рассматриваете ошибки во время выполнения как не завершающиеся, вы скрываете все проблемы с корректностью. Вы все еще должны доказать правильность программы каким-то образом, но это не должно быть в логике Хоара, если вы предпочитаете какой-то другой формализм для выполнения этой задачи.

$P$$\mathrm{IsSorted}(A)$$A[i]\leftarrow E$$P$$A[i] \leftarrow P$$P$$A[A[0]-1] := A[0]$$A[0] = 2 \wedge A[1] = 3$$A[0] = 1 \wedge A[1] = 1$$A[0]$$A[0]$$A \leftarrow A[i\leftarrow E]$

Как упоминал Жиль, существует аксиома присвоения массивов (см . Примечания Гордона, раздел 2.1.10 ):

$$\dfrac{} {\{Q[A \mapsto A.store(i,expr) ] \} \;\; A[i] = expr \;\;\{ Q \}}$$ A.store(i,expr)iexprA.store(i,vi)A[j]=vjA.store(j,vj).store(i,vi)

A.store(i,v)[i]v$i$

Я думаю, что для того, чтобы доказать правильность программы с массивами («нет доступа за пределы»), приведенных выше аксиом достаточно. Давайте рассмотрим программу:

...
A[i] = 12
...

Мы бы аннотировали эту программу:

...
@ {0<i<A_length}
A[i] = 12
...

где A_lengthпеременная, которая определяет длину массива. Теперь попробуйте доказать аннотацию, а именно отработать ее задом наперед (снизу вверх, «как обычно» в доказательствах Хоара). Если вы получаете {false}доступ сверху , то может произойти доступ из-за границы, в противном случае полученное вами выражение является предварительным условием, при котором невозможен доступ из-за границы. (Кроме того, нам нужно убедиться, что когда массив создается как int A=int[10];тогда в пост-условии, которое мы имеем {A_length==10}).