Especificação de Programas

$while G {C} [[a]] P [[b]] e ⊨ a$

O processo de verificação formal de um programa começa por uma definição formal da sintaxe dos programas, continua com a respetivas semântica, isto é, as computação e a especificação dos "comportamentos": condições sobre as entradas e os respetivos resultados.

As condições das entradas e resultados são fórmulas de uma lógica de primeira ordem adequada e a verificação é uma prova com regras adequadas à sintaxe do programa.

Programas Sequenciais Transformacionais

O primeiro passo consiste em definir uma linguagem de programação adequada que, essencialmente, é um sub-conjunto das linguagens imperativas comuns (C, Python, Rust).

A formalização de uma linguagem (de programação ou outro uso) é assunto de outra disciplina, não tratado aqui. Resumindo, uma linguagem de programação pode ser definida usando uma gramática independente do contexto.

Definição (Expressão, Instrução, Programa)

Dada a gramática $E \to B \to C \to P \to N ∣ V ∣ - E ∣ E + E ∣ E - E ∣ E * E true ∣ false ∣ not B ∣ B or B ∣ B and B ∣ E == E ∣ E!= E ∣ E < E ∣ E <= E V = E ∣ if B {P} else {P} ∣ while B {P} λ ∣ C; P$ onde $N$ representa os números inteiros e $V$ as variáveis.

Então:

Expressão numérica: Uma expressão numérica resulta da variável $E$ . As expressões numéricas usam números, variáveis e as funções aritméticas $-_{1}, +_{2}, -_{2}, \times_{2}$ ; São termos na LPO.
Expressão booleana: Uma expressão booleana resulta da variável $B$ . As expressões booleanas podem ser construídas com os conectivos lógicos $⊤, ⊥, \neg, \lor, \land$ e com as relações numéricas $=_{2}, \neq =_{2}, <_{2}, \leq_{2}$ ; São fórmulas sem quantificadores na LPO.
Instrução: Uma instrução resulta da variável $C$ . Há três tipos de instruções:
- Cópia $x = n$ . O lado esquerdo, $x$ , é uma variável e o lado direito, $n$ , uma expressão numérica.
- Condição $if b {p} else {n}$ . A guarda $b$ é uma expressão booleana e $p, n$ são (sub-)programas, o ramo positivo e o ramo negativo respetivamente.
- Repetição ou Ciclo $while b {c}$ . A guarda $b$ é uma expressão booleana e o corpo $c$ um (sub-)programa.
Programa: Um programa resulta da variável $P$ .
- O caso $λ$ é o programa vazio, sem instruções.
- O caso $c; p$ é uma sequência em que a a seguir à instrução $c$ estão as instruções de $p$ . Nesta sequência não estão incluídas as instruções dos corpos das repetições nem dos ramos das condições.

Isto é, um programa é uma sequência de instruções, possivelmente vazia. Há três tipos de instruções: cópia, condição e repetição. As expressões numéricas e booleanas são parte dessas instruções.

Esta definição apenas cobre a sintaxe de um programa. Para definir a computação de um programa é necessário um estado que descreva a instrução atual e os valores das variáveis e como os diferentes tipos de instruções comandam a evolução do estado.

Definição (Estado, Valoração, Computação)

Seja $P$ um programa com instruções $c = (c_{1}; \dots; c_{K})$ e variáveis $x = (x_{1}, \dots, x_{N})$ .

Estado: Um estado, ou configuração, de $P$ é um par $e = (a, v)$ em que:

$a$ é o índice da instrução ativa, um número natural positivo.
$v = (v_{1}, \dots, v_{N})$ é um vetor de números tal que o valor da variável $x_{i}$ é $v_{i}$ .

Valoração: Um estado $e = (a, v)$ de um programa $P$ define o valor das expressões desse programa da seguinte forma:

Valor numérico: Seja $α$ uma expressão numérica. Então $v_{e} (α)$ é o valor de $α$ em $e$ e resulta de:
1. Substituir as variáveis de $α$ pelos respetivos valores em $e$ .
2. Usar as regras usuais da aritmética para as operações.
Valor booleano: Seja $β$ uma expressão booleana. Então $v_{e} (β)$ é o valor de $β$ em $e$ e resulta de:
1. Calcular os valores numéricos em $β$ .
2. Usar as regras usuais das desigualdades e dos conectivos booleanos em $β$ .
Se $v_{e} (β)$ for $v$ diz-se que $e$ satisfaz $β$ e escreve-se $v_{e} ⊨ β$ ou simplesmente $e ⊨ β$ .

Computação: Uma computação do programa $P$ a partir do estado $e_{0}$ é uma sequência de estados $(e_{0}, e_{1}, \dots)$ em que $e_{i + 1}$ resulta de $e_{i}$ em função da instrução activa de $P$ .

Estado inicial: Em geral $e_{0}$ é dado. Caso contrário, assume-se que $e_{0} = (1, (0, 0, \dots, 0))$ , a instrução ativa é a primeira instrução de $P$ e todas as variáveis têm valor $0$ .

Estado seguinte: Seja $e = (a, v)$ um estado com instrução ativa (índice) $a$ e valores $v$ . O estado seguinte, $e^{'}$ , depende do tipo da instrução ativa:
- Se não existe instrução ativa ( $a > K$ ) o programa termina e $e$ é o estado final.
- Cópia $x_{k} = y$
  - $e^{'} = (a + 1, u)$ em que $u_{j} = v_{j}$ em todas as posições exceto $u_{k} = v_{e} (y)$ ;
- Condição $if b {p} else {n}$
  - Se $e ⊨ b$ seja $f$ o estado que resulta da computação de $p$ (o ramo positivo) a partir do estado $g = (1, v)$ e $u$ os valores em $f$ . Então $e^{'} = (a + 1, u)$ .
  - Caso contrário, se $e \neq ⊨ b$ , seja $f$ o estado que resulta da computação de $n$ (o ramo negativo) a partir do estado $g = (1, v)$ e $u$ os valores em $f$ . Então $e^{'} = (a + 1, u)$ .
- Repetição $while b {c}$
  - (continuação) Se $e \neq ⊨ b$ , então $e^{'} = (a + 1, v)$ .
  - Caso contrário, se $e ⊨ b$ então seja $f$ o estado que resulta da computação de $c$ (o corpo) a partir do estado $g = (1, v)$ e $u$ os valores em $f$ :
    - (ciclo) Se $f ⊨ b$ então $e^{'} = (a, u)$ .
    - (continuação) Caso contrário, se $f \neq ⊨ b$ , então $e^{'} = (a + 1, u)$ .

As definições acima formalizam objetivamente a computação que um programa executa dada uma entrada (o estado inicial) para produzir o respetivo resultado (o estado final).

Exemplo. Computação Copy.

Considere-se o programa Copy:

#![allow(unused)]
fn main() {
y = 1;
if x > y {
    while y < x {
        y = y + 1;
    }
} else {
    while x < y {
        x = x + 1;
    }
}
}

Exercícios:

Quantas instruções tem este programa? De que tipos?
Quantos sub-programas?

A computação deste programa no estado inicial $e = (1, (0, 0))$ (assumindo $x = x = x_{1}$ e $y = y = x_{2}$ ) está ilustrada na seguinte tabela:

Passo	Valores	Instrução ( $a$ )	Instrução (prog)	Observação
1	$x = 0, y = 0$	1	`y = 1;`
2	$x = 0, y = 1$	2	`if x > y { P } else { N }`	$\neq ⊨ x > y$
	$x = 0, y = 1$			sub `N`
3	$x = 0, y = 1$	2 - 1	`while x < y { C }`	$⊨ x < y$
				sub `C`
4	$x = 0, y = 1$	2 - 1 - 1	`x = x + 1;`
	$x = 1, y = 1$	2 - 1 - 2		`C` termina
5	$x = 1, y = 1$	2 - 1	`while x < y { C }`	$\neq ⊨ x < y$
	$x = 1, y = 1$	2 - 2		`N` termina
	$x = 1, y = 1$	3		`Copy` termina

Exercícios:

Faça a computação para o estado inicial $e = (1, (2, 0))$ .
Será que definir o valor de $y$ no estado inicial tem algum efeito no estado final?
Será que este programa garante que o estado final $f ⊨ x = y$ seja qual for o estado inicial?
Em que casos o valor de $x$ não é afetado pelo programa? E o valor de $y$ ?

Problema da Paragem

Pode acontecer que uma computação não termine. Por exemplo o programa

#![allow(unused)]
fn main() {
while true {}
}

não termina em qualquer estado inicial. Neste caso a computação é uma sequência infinita de estados e o estado final não está definido.

O Problema da Paragem, apresentado informalmente na secção Gödel e Turing da Consequência Semântica Proposicional, consiste em determinar se existe algum programa $T$ que verifique se qualquer programa $X$ termina ou não.

Agora, com uma definição formal de "programa", este problema pode ser apresentado com mais rigor.

A ideia é representar cada programa $X$ e estado inicial $e$ por um número, digamos $x$ , e correr $T$ no estado inicial $e_{x} = (1, (x, y = 0))$ .

Essa computação de $T$ deve terminar e, no estado final, fica $y = 1$ se e só se o programa $X$ com estado inicial $e$ termina.

O que Turing mostrou é que não existem programas como $T$ : nenhum programa resolve o problema da paragem.

Programas Totais e Parciais

Definição (Programa Total, Parcial)

Seja $P$ um programa e $e = (1, v)$ um estado.

Se $P$ termina (ou converge) no estado $e$ como acima escreve-se $P (e) ↓ .$
Caso contrário, $P$ diverge no estado $e$ e escreve-se $P (e) ↑ .$

Além disso,

$P$ é total se termina qualquer que seja o estado inicial $e$ como acima: $\forall e P (e) ↓$ . Nesse caso escreve-se $P ↓ .$
$P$ é parcial se não termina com alguns estados iniciais $e$ como acima: $\exists e P (e) ↑$ . Nesse caso escreve-se $P ↑ .$

Por exemplo o programa

#![allow(unused)]
fn main() {
while x != y {
    x = x + 1
}
}

termina quando $e ⊨ x \leq y$ mas não termina se $e ⊨ x > y$ . Portanto é um programa parcial.

Com a definição de programa total e parcial, o problema da paragem pode ser enunciado da seguinte forma:

Problema da Paragem. Existe um programa que classifica corretamente cada programa como total ou parcial?

Nesta formulação estamos a assumir que a entrada dos programas é dada na forma de um número que "codifica" juntamente o programa e o estado inicial.

O problema que se está a tratar aqui é mais "simples": É possível provar que um programa tem um determinado comportamento? Isto é, se a entrada verificar determinadas condições iniciais existe uma prova que o resultado do programa satisfaz as condições finais?

Exemplo. Satisfação de estados iniciais e finais.

Considere-se o seguinte programa e condições sobre os valores das variáveis antes do programa correr e quando termina.

#![allow(unused)]
fn main() {
y = 0;
z = 0;
while z != x {
    z = z + 1;
    y = y + z;
}
}

Seja $e$ o estado inicial e $f$ o estado final.

se, no início	então, quando termina
$⊨ x = 3$	$⊨ z = 3$
$⊨ x = 3$	$⊨ y = 6$
$⊨ x = 3$	$⊨ z = x$
$⊨ x = 3$	$⊨ y = 0 + 1 + \dots + x$
$⊨ x = 3$	$⊨ z = x \land y = \sum_{i = 0}^{x} i$
$⊨ x = 3$	$⊨ y = \frac{x ( x + 1 )}{2}$

A ideia é caraterizar o "comportamento" de um programa pelos estados iniciais e finais.

Triplos de Hoare

$[[a]] P [[b]]$

Pretende-se relacionar uma condição inicial dada e uma condição final obtida por efeito da computação do programa.

Definição (Triplo de Hoare, $[[a]] P [[b]]$ )

Seja $P$ um programa, $a$ e $b$ fórmulas. Um triplo de Hoare é a expressão $[[a]] P [[b]]$ e significa que se o programa $P$ corre num estado inicial $e$ que satisfaz $a$ , $e ⊨ a$ , então, quando termina o estado final, $f$ , satisfaz $b$ , $f ⊨ b$ .

A fórmula $a$ é a pré-condição do triplo.
A fórmula $b$ é a pós-condição do triplo.
O programa $P$ é o programa do triplo.

As fórmulas $a$ e $b$ são fórmulas LPO no universo dos números inteiros, com as interpretações usuais dos símbolos $-_{1}, +_{2}, -_{2}, \times_{2}, <_{2}, =_{2}$ .

Além disso:

Cada variável de $P$ é representada da mesma forma em $a$ e $b$ : $x$ é representada por $x$ , $cont$ por $cont$ , etc.
As variáveis ligadas de $a$ e $b$ não ocorrem em $P$ .

Notação. A representação usual dos triplos de Hoare é ${a} P {b}$ . Aqui usa-se a forma $[[a]] P [[b]]$ para evitar confusão com a sintaxe dos programas, que usa {} para delimitar sub-programas, e com a substituição em fórmulas FOL, que usa $a {x / y}$ para substituir as ocorrências da variável $x$ pelo termo $y$ na fórmula $a$ .

Especificação por Triplos de Hoare

Supondo que se pretende que um programa tenha o seguinte comportamento: quando $x$ é um número positivo, o programa define $y$ como um número cujo quadrado é menor do que $x$ : $[[x > 0]] P [[y^{2} < x]]$

Isto é, se o programa correr num estado $e$ tal que $e ⊨ x > 0$ quando termina, no estado que resulta, $f$ , tem-se $f ⊨ y^{2} < x$ .

Um programa que produza "lixo" quando $x \leq 0$ está de acordo com a especificação, desde que funcione como indicado quando $x > 0$ .

Variáveis lógicas e do programa

Há uma associação entre as variáveis lógicas das condições e as variáveis que ocorrem nos programas. Esta associação é necessária mas requer algum cuidado.

Seja Fac1 o seguinte programa

y = 1;
z = 0;
while z != x {
    z = z + 1;
    y = y * z;
}

O triplo $[[x \geq 0]] Fac1 [[y = x!]]$ especifica que, se $x \geq 0$ então Fac1 deve calcular o fatorial de $x$ e guardar o resultado em $y$ . Neste caso a variável lógica $x$ está associada a $x$ e $y$ a $y$ .

Mais adiante vai-se provar que este programa efetivamente calcula o fatorial de $x$ .

Agora, seja Fac2 o programa

y = 1;
while x != 0 {
    y = y * x;
    x = x - 1;
}

Para Fac2 o triplo $[[x > 0]] Fac2 [[y = x!]]$ não funciona porque $x$ é transformado pelo programa.

Este problema pode ser resolvido usando uma "variável lógica auxiliar": $[[x_{0} > 0 \land x = x_{0}]] Fac2 [[y = x_{0}!]]$

$x_{0}$ é uma variável lógica universalmente quantificada e que não ocorre em Fac2: Para qualquer $x_{0}$ , $[[x_{0} > 0 \land x = x_{0}]] Fac2 [[y = x_{0}!]]$ .
Como $x_{0}$ não ocorre em Fac2 este triplo especifica o comportamento que se pretende: no fim $y$ é o fatorial de $x_{0}$ .