Regras da Verificação de Programas

As regras da verificação de programas estão organizadas (essencialmente) pelos tipos de instruções.

Ciclos e Programas Parciais

Num triplo de Hoare, $[[a]] P [[b]]$ , a verificação da pós-condição pressupõe que $P$ termina quando $⊨ a$ .

Entre os tipos de instruções, apenas os ciclos podem contribuir para programas que não terminam; Um programa apenas com instruções "cópia" ou "condição" sem ciclos termina sempre.

Como o problema da paragem é indecidível, isto é, não há um algoritmo para classificar um programa como total ou parcial, as regras de verificação que envolvem ciclos (onde está o "problema" da paragem) devem contemplar ambos os casos.

De facto, existe uma regra para ciclos totais e outra regra para ciclos parciais.

O tratamento dos ciclos totais está fora do âmbito desta disciplina e vai-se usar apenas a regra do caso parcial nos ciclos.

A razão desta escolha está na complexidade adicional de tratar o caso total. Os ciclos, como estão apresentados, permitem programas parciais e, claro, também programas totais.

Uma forma de garantir que um ciclo termina consiste em usar ciclos limitados. Por exemplo, a sintaxe do C permite

for (int i = 0; i < 10; i++) {
    // instruções que não afetam i
}

Claro, isto é um caso particular de ciclos ilimitados:

#![allow(unused)]
fn main() {
i = 0;
while i < 10 {
    // instruções que não afetam i
    i = i + 1;
}
}

Regras para a Verificação de Programas Parciais

$⊢ impl seq copy cond loop$

Implicação

Definição ( $impl$ )

$\frac{⊢ _{AR} a \to u [ [ u ] ] P [ [ v ] ] ⊢ _{AR} v \to b}{[ [ a ] ] P [ [ b ] ]} (impl)$

Nesta regra:

$a, u, v, b$ são fórmulas FOL+Aritmética.
$H ⊢_{AR} t$ significa que existe uma prova de $t$ com hipóteses $H$ na lógica FOL+Aritmética.
P é um programa.

Esta é uma regra de "conveniência", que permite generalizar a pré-condição e restringir a pós-condição.

Sequência

Sequência ( $seq$ )

$\frac{[ [ a ] ] P [ [ c ] ] [ [ c ] ] Q [ [ b ] ]}{[ [ a ] ] P ; Q [ [ b ] ]} (seq)$

Nesta regra:

$a, b, c$ são fórmulas FOL+Aritmética.
P e Q são programas.

Intuitivamente:

Se $⊨ a$ antes de $P$ e $⊨ c$ depois,
e se $⊨ c$ antes de $Q$ e $⊨ b$ depois;
Estão, quando $⊨ a$ antes de $P; Q$ também $⊨ b$ depois: $[[a]] P [[c]] Q [[b]]$

Cópia

Cópia ( $copy$ )

$[ [ a { x / E } ] ] x = E [ [ a ] ] (copy) .$

Nesta regra:

$a$ é uma fórmula FOL+Aritmética.
$E$ é um termo aritmético.
$a {x / E}$ resulta de substituir, em $a$ , algumas ocorrências da variável $x$ por $E$ .

Exemplo. Provas em Tabela

Mostrar que

$⊢ [[y = 5]] x = y + 1 [[x = 6]] .$

Temos de usar a regra

$[ [ a { x / E } ] ] x = E [ [ a ] ] (copy)$

Para esta regra ser corretamente aplicada é necessário identificar o termo $E$ e a fórmula $a$ .

Uma prova em tabela é:

Linha	Instrução	Fórmula	Regra	Hipóteses	Observação
1		$y = 5$	`prec`		pré-condição
2		$y + 1 = 6$	`aritm`	1	aritmética na linha anterior
3	`x = y + 1`
4		$x = 6$	`copy`	2, 3	$a$ é a fórmula " $x = 6$ "

Na primeira linha está a pré-condição do triplo (prec) e na última linha está a pós-condição do triplo.
A segunda linha $y + 1 = 6$ resulta da primeira por aplicação das regras da aritmética (aritm).
Na terceira linha está (apenas) a instrução do triplo.
Finalmente, a última linha resulta de aplicar a regra $copy$ .

Mas ficam algumas dúvidas:

Qual a justificação para a linha 2? É necessária?
Donde vêm a fórmula $a$ e o termo $E$ ? O que se passa com a substituição $a {x / E}$ ?

Como identificar a fórmula $a$ e o termo $E$ usados na regra $copy$ .

De acordo com a regra, $a$ deve ser a pós-condição de uma instrução da forma x = E.
O que pretendemos com esta regra é obter a fórmula $x = 6$ . Portanto, $a$ deve ser $x = 6$ .
Falta o $E$ . A instrução "real" é x = y + 1. Portanto, $E$ deve ser $y + 1$ .
Isso significa que na prova deve estar a fórmula $y + 1 = 6$ , que resulta de $a {x / y + 1}$ .
Por isso é usado o teorema $⊢_{A R} y = 5 \to y + 1 = 6$ da aritmética e a regra $impl$ .
- Em casos diretos, como este, pode usar-se a "pseudo-regra" $aritm$ para simplificar a prova.

Mais rigorosamente, o que aquela tabela apresenta é a seguinte prova formal:

$\frac{⊢ _{A R} y = 5 \to y + 1 = 6 [ [ ( x = 6 ) { x / y + 1 } ] ] x = y + 1 [ [ x = 6 ] ] ( copy ) ⊢ _{A R} x = 6 \to x = 6}{[ [ y = 5 ] ] x = y + 1 [ [ x = 6 ] ]} (impl)$

Este exemplo ilustra a seguinte eurística para as provas de verificação:

As linhas de uma prova lêem-se "de cima para baixo" mas escrevem-se "de fora para dentro"

O que isto significa é que as seguintes regras ajudam a fazer uma prova:

Começar por escrever as hipóteses ou pré-condições dadas e a conclusão ou pós-condição pretendida.
"Descer" a partir das linhas superiores enquanto as conclusões são diretas.
"Subir" das linhas inferiores enquanto a hipóteses necessárias são diretas.

Exemplos da regra $copy$ .

$[[2 = 2]] x = 2 [[x = 2]]$
$[[2 = 4]] x = 2 [[x = 4]]$
$[[2 = y]] x = 2 [[x = y]]$
$[[2 > 0]] x = 2 [[x > 0]]$
$[[x + 1 = 2]] x = x + 1 [[x = 2]]$
$[[x + 1 = y]] x = x + 1 [[x = y]]$
$[[x + 1 + 5 = y]] x = x + 1 [[x + 5 = y]]$
$[[x + 1 < 0 \land y > 0]] x = x + 1 [[x > 0 \land y > 0]]$
$[[y = y]] x = y [[x = y]]$

Condicional

Condicional ( $cond$ )

$\frac{[ [ a \land C ] ] P [ [ b ] ] [ [ a \land \neg C ] ] Q [ [ b ] ]}{[ [ a ] ] if C { P } else { Q } [ [ b ] ]} (cond) .$

Nesta regra:

$a, b$ e $C$ são fórmulas FOL + Aritmética.
P e Q são programas, respetivamente os ramos positivo e negativo da instrução condicional.

Exemplo. $⊢ [[⊤]] Max [[z = ma x (x, y)]]$

Seja Max o programa

#![allow(unused)]
fn main() {
if x > y {
    z = x
} else {
    z = y
}
}

Recapitulando a definição de $ma x$ da aritmética:

$z = ma x (x, y) \leftrightarrow (z = x \lor z = y) \land z \geq x \land z \geq y$

L.	Instrução	Fórmula	Regra	Hipóteses
1		$⊤$	`prec`
2	`if x > y {`
?
?	`z = x`
?
?	`} else {`
?
?	`z = y`
?
?	`}`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`cond`	2, ? - ?, ? - ?

L.	Instrução	Fórmula	Regra	Hipóteses	Observação
1		$⊤$	`prec`
2	`if x > y {`
?
?	`z = x`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`		têm de ser iguais
?	`} else {`
?
?	`z = y`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`		têm de ser iguais
?	`}`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`cond`	2, ? - ?, ? - ?	têm de ser iguais

L.	Instrução	Fórmula	Regra	Hipóteses	Observação
1		$⊤$	`prec`
2	`if x > y {`
3		$x > y$	`posb`		guarda
?	`z = x`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`
?	`} else {`
8		$y \geq x$	`negb`		negação da guarda
?	`z = y`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`
?	`}`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`cond`	2, ? - ?, ? - ?

L.	Instrução	Fórmula	Regra	Hipóteses	Observação
1		$⊤$	`prec`
2	`if x > y {`
3		$x > y$	`posb`
4		$(x = x \lor x = y) \land x \geq x \land x \geq y$	?		$a {z / x}$
5	`z = x`
6		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`		$a$
7	`} else {`
8		$y \geq x$	`negb`		negação da guarda
?	`z = y`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`
?	`}`
?		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`cond`	2, ? - ?, ? - ?

L.	Instrução	Fórmula	Regra	Hipóteses	Observação
1		$⊤$	`prec`
2	`if x > y {`
3		$x > y$	`posb`
4		$(x = x \lor x = y) \land x \geq x \land x \geq y$	`impl`
5	`z = x`
6		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`
7	`} else {`
8		$y \geq x$	`negb`
9		$(y = x \lor y = y) \land y \geq x \land y \geq y$	`impl`		$a {z / y}$
10	`z = y`
11		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`copy`		$a$
12	`}`
13		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`cond`	2, ? - ?, ? - ?

L.	Instrução	Fórmula	Regra	Hipóteses
1		$⊤$	`prec`
2	`if x > y {`
3		$x > y \land x = x$	`posb`
4	`z = x`
5		$x > y \land z = x$	`copy`
6		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`impl`
7	`} else {`
8		$y \geq x \land y = y$	`negb`
9	`z = y`
10		$y \geq z \land z = y$	`copy`
11		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`impl`
12	`}`
13		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`cond`	2, 3 - 6, 8 - 11

Ciclo Parcial e Invariante

Definição ( $loop$ , Invariante) $\frac{[ [ a \land C ] ] P [ [ a ] ]}{[ [ a ] ] while C { P } [ [ a \land \neg C ] ]} (loop) .$

Uma invariante do ciclo $while C {P}$ é qualquer fórmula $a$ tal que $⊨ [[a \land C]] P [[a]] .$

Isto é,

A fórmula $a$ é um invariante do ciclo $while C {P}$ se para qualquer estado $e$ tal que $e ⊢ a, C$ , quando $P$ é executado no estado $e$ e termina, no estado final, $f$ , ainda $f ⊨ a$ .

Por outras palavras, um invariante de um ciclo é uma condição que é válida antes e depois da computação do corpo do ciclo. Pode acontecer que durante essa computação a condição deixe de ser válida desde que, no fim, volte a sê-lo.

Exemplo. Verificação de um programa para calcular $x!$ .

Mostre que $⊨ [[x \geq 0]] Fac1 [[y = x!]]$ em que Fac1 é o programa

#![allow(unused)]
fn main() {
y = 1;
z = 0;
while z != x {
    z = z + 1;
    y = y * z;
}
}

Para este exemplo é preciso recapitular a seguinte propriedade da aritmética:

${0! (x + 1)! = 1 = (x + 1) x!$

L.	Instrução	Fórmula	Regra	Hipóteses
1		$⊤$	`prec`
2	`if x > y {`
3		$x > y \land x = x$	`posb`
4	`z = x`
5		$x > y \land z = x$	`copy`
6		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`impl`
7	`} else {`
8		$y \geq x \land y = y$	`negb`
9	`z = y`
10		$y \geq z \land z = y$	`copy`
11		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`impl`
12	`}`
13		$(z = x \lor z = y) \land z \geq x \land z \geq y$	`cond`	2, 3 - 6, 8 - 11

Lógica e Computação