Invk (x1, … , xn),

который будем называть индуктивным утверждением. Назначение этого предиката состоит в том, чтобы описать соотношение между переменными в этой точке. Всякий раз, когда исполнение программы достигает точки k, предикат inv_k (x₁, … , x_n) должен быть истинным для текущих значений x₁, … , x_n в этой точке.

Индуктивное утверждение, приписанное циклу, принято называть инвариантом цикла. Инвариант цикла может приписываться точке входа в цикл или любой другой точке цикла, которая лежит на каждой трассе через цикл.

Будем считать, что программа аннотируется выбором контрольных точек (на входе программы, выходе программы и на каждом пути через цикл), с каждой из которых связывается индуктивное утверждение (инвариант):

Invt1 (x1, … , xn): p ; invt2 (x1, … , xn): q ; invt3 (x1, … , xn) ; … ,

где t1 – точка входа (после оператора START), t2 – точка выхода (перед оператором STOP), t3 – контрольная точка инварианта цикла.

Шаг 3. Определение набора условий корректности для всех путей между соседними контрольными точками программы

Пусть путь  ведет от контрольной точки r к контрольной точке t (случай r = t не исключается) и не содержит никаких других контрольных точек и пусть этот путь проходит через последовательность операторов A₁, A₂, … , A_i,, … , A_k, где A_i – оператор присваивания или условие _, где   { +, - }.

Определим условие U_ пути  между двумя соседними контрольными точками графа потока управления программы следующим образом:

U: invr(x1, … , xn)  u0

(из истинности предиката в начальной контрольной точке r следует истинность условия U₀), где последовательность U₀, U₁, … , U_k задается по индукции (методом обратной подстановки):

1. U_k: inv_t (x₁, … , x_n) – условие определяется предикатом в контрольной точке t;

2. Пусть U_i определено. Тогда возможны два случая:

1. A_i – оператор присваивания x_s := f (x₁, … , x_n), тогда

U_i-1: U_i ( x_s  f (x₁, … , x_n));

2. A_i – условный оператор _, тогда

U_i-1:   U_i при  = + или

U_i-1:   U_i при  = –

Пример

Пусть  соответствует последовательности:

x = f₁ (x); g₊ (x); x = f₂ (x); h_– (x); x = f₃ (x);

Тогда

P : inv_r (x) – входной предикат;

U₅ : Q = inv_t (x);

U₄ : Q ( f₃ (x) );

U₃ : (  h (x)  Q ( f₃ (x) ) );

U₂ : (  h ( f₂ (x) )  Q ( f₃ ( f₂ (x) ) ) );

U₁: ( g (x)  ( h ( f₂ (x) )  Q ( f₃ ( f₂ (x) ) ) );

U₀: ( g (f₁ (x) )  ( h ( f₂ (f₁ (x) ) )  Q ( f₃ ( f₂ (f₁ (x) ) ) );

Окончательно условие пути  имеет вид:

U_: P  ( g (f₁ (x) )  ( h ( f₂ (f₁ (x) ) )  Q ( f₃ ( f₂ (f₁ (x) ) ) );

Шаг 4. Доказательство истинности составленных условий корректности

Введенное понятие условия U_ между соседними контрольными точками позволяет свести задачу анализа частичной корректности программы Prgm к доказательству истинности условий между любыми соседними контрольными точками программы Prgm.

Теорема (без док-ва). Программа Prgm частично корректна относительно предусловия P и постусловия Q, если для каждого пути  между соседними контрольными точками условие пути U_ истинно.

Важность этой теоремы состоит в том, что она позволяет абстрагироваться от конкретных процессов между соседними контрольными точками вычислений по программе и рассматривать только условия U_ между соседними контрольными точками, т.е. рассматривать только характеристики статической структуры программы.

Возможности доказательства условий корректности U_ зависят от проблемной области.

Пример

Доказать частичную корректность программы вычисления частного и остатка от деления целых чисел x и y.

Программа на Паскале:

r := x; q := 0;

while y  r do

begin r := r – y; q := q + 1 end

Блок-схема этой программы имеет вид:

1. Разрезание цикла программы.

Разрежем цикл программы в точке входа в цикл (точка t₃)..

2. Получение аннотированной программы.

Запишем индуктивные утверждения для программы в контрольных точках t₁, t_ и t₃.

P: inv_t1( x, y )  ( x  0 )  ( y > 0 ); – условие корректных исходных данных

Q: inv_t2 ( x, y, q, r )  ( x = r + y*q )  ( r < y ); – условие выхода из цикла

inv_t3 ( x, y, q, r ) : x = r + y*q – инвариант цикла.

3. Определение набора условий корректности для всех путей между соседними контрольными точками программы.

Путями между контрольными точками являются:

₁ : от входа программы к началу цикла (t₁ – t₃);

₂ : от начала цикла через тело цикла обратно к началу цикла (t₃ – t₃);

₃ : от начала цикла через условие цикла к выходу программы (t₃ – t₂).

Тогда

U_1 : P  inv_t3 ( r x, q  0 ) 

( x  0 )  ( y > 0 )  x = x + y*0 

( x  0 )  ( y > 0 )  x = x 

( x  0 )  ( y > 0 )  true

U_2 : inv_t3 ( x, y, q, r ) 

( ( y  r )  inv_t3 ( x, y, q  q+1, r r – y) ) 

(x = r + y*q )  ( ( y  r )  ( x = ( r - y ) + y*(q + 1)))  (x = r + y*q )  ( ( y  r )  (x = r + y*q ) );

U_3 : inv_t3 ( x, y, q, r )  ( ( y > r )  Q ) 

(x = r + y * q )  ( ( y > r )  (x = r + y * q )  ( r < y ) )

4. Доказательство истинности условий U_.

Условие U_1 – истина, так как x₁  x₂ – тождественная истина, если x₂ – истина.

Преобразуем условие U_2.

(x = r + y * q )  ( ( y  r )  (x = r + y * q ) ) 

( (x = r + y * q )  ( y  r ) )  (x = r + y * q ) ) 

( (x = r + y * q )  ( y  r ) )  ( x = r + y * q ) 

( x = r + y * q )  ( y  r )  ( x = r + y * q ) 

( y  r )  true  ( y  r )  true.

Следовательно, U_2 – истина (по аналогии с U_1).

Преобразуем условие U_3.

(x = r + y * q )  ( ( y > r )  (x = r + y * q )  ( r < y ) ) 

(x = r + y * q )  ( y > r )  (x = r + y * q )  ( r < y ) 

( y > r )  ( r < y ), так как x = r + y * q – true.

Следовательно, U_3 – истина

Таким образом, доказана истинность всех трех условий корректности и. следовательно, установлено свойство частичной корректности программы.

Пример 2

Доказать частичную корректность программы вычисленияz = [x] для любого целого x  0. [x] есть наибольшее целое число k такое, что k  x.

Решение

Метод вычисления, на котором основана программа, основывается на известном соотношении: 1 + 3 + 5 + … + (2k + 1) = (k + 1)² для каждого k  0.

Пусть значение суммы запоминается в s, а нечетные числа 2k + 1 – в n.

Программа на Паскале:

k := 0; s:= 0; n:= 1;

s := s + n;

while x  s do

begin k := k +1; n := n + 2;

s := s + n;

end;

z := k;

Блок-схема этой программы имеет вид:

1. Разрежем цикл программы в точке B.

2. Получение аннотированной программы.

Запишем индуктивные утверждения для программы в контрольных точках A, B и C.

P: inv_A(x)  x0 ; – условие корректных входных данных

Q: inv_С ( x, z )  (z²  x)  ( x < (z+1)² ); – условие выхода из цикла

inv_B (x, k, s, n): ( k²x )  ( s= (k+1)² )  ( n=2k+1 ) – инвариант цикла.

Определение набора условий корректности для всех путей между

соседними контрольными точками программы.

Путями между контрольными точками являются:

₁ : от входа программы к точке разреза цикла (A – B);

₂ : от точки разреза цикла через тело цикла обратно в точку разреза цикла (В – B);

₃ : от точки разреза цикла через условие цикла к выходу программы

( B – C).

Тогда

U_1 : P  inv_B (x, k, s s+n, n) 

( x  0 )  (k²  x )  ( s+n = (k+1)² )  ( n=2k+1 ) ) 

( x  0 )  ( 0²  x )  (0+1 = (0+1)²)  ( 1=2*0+1 ) ) 

( x  0 )  ( ( 0²  x )  (1 = 1)  (1 = 1) );

U_2 : inv_B (x, k, s, n)  ((sx) 

inv_B(x, k  k+1, s  s+n, n n+2)) 

( k²  x )  ( s = (k+1)² )  ( n=2k+1 )  ((s x) 

( (k+1)²  x )  ( s + n +2 = (k+2)² )  ( (n+2) = 2*( k+1) +1) );

U_3 : inv_B (x, k, s, n)  ( ( s  x )  inv_С ( x, z  k) ) 

( k²  x )  ( s = (k+1)² )  ( n=2k+1 )  ( ( s > x ) 

(k²  x)  ( x < (k+1)² )

Доказательство истинности условий U_.

Истинность всех трех условий легко проверяется подстановкой.

4.1. Условие U_1 – истина, так как

выражение ( x  0 )  ( ( 0²  x )  (1 = 1)  (1 = 1) ) 

(x  0)  (0  x)  (x  0)  (0  x)  (x < 0)  (x  0)  true

4.2. Преобразуем условие U_2.

( k²  x )  ( s = (k+1)² )  ( n=2k+1 )  ( (s  x) 

( (k+1)²  x )  ( s + n +2 = (k+2)² )  ( (n+2) = 2( k+1) +1) ) 

( ( k²  x )  ( s = (k+1)² )  ( n=2k+1 )  (s  x) ) 

( (k+1)²  x )  ( s + n +2 = (k+2)² )  ( (n+2) = 2( k+1) +1) )

Для доказательства истинности условия U_2 нужно показать, что соотношения, образующие конъюктивные члены справа от знака импликации, следуют из соотношений, стоящих слева от знака импликации.

а) Поскольку x  s и s = (k+1)², то (k+1)²  x.

б) s+n+2 = (k+1)² + 2k + 1 + 2  k² + 2k+ 1+ 2k + 1 + 2 = (k+2)²

в) n+2 = 2 (k+1) +2 = 2 (k+1)+1

Следовательно, условие истинно.

4.3. Преобразуем условие U_3.

( k²  x )  ( s = (k+1)² )  ( n=2k+1 )  ( ( s > x ) 

(k²  x)  ( x < (k+1)² ) 

( k²  x )  ( s = (k+1)² )  ( n=2k+1 )  ( s > x ) 

(k²  x)  ( x < (k+1)² )

Поскольку s > x и s = (k+1)², то (k+1)² > x и U_3 – истина

Анализ завершенности последовательных программ

Особенность свойства завершенности программ состоит в том, что оно не зависит от постусловия программы, и для заданной программы полностью определяется предусловием. В общем случае формальный анализ свойства завершенности представляет весьма сложную проблему.

Имеются по меньшей мере две причины, по которым программа с заданным предусловием P может не завершиться:

• обращение к частично определенной функции со значением аргументов вне области определения;

• зацикливание.

Первая причина может приводить к аварийному завершению даже нециклических программ (например, при делении на нуль). Вторая причина присуща программам с итеративными циклами.

Ограничимся рассмотрением методов анализа завершения циклических вычислений без учета других возможных причин незавершения, т.е. предполагается, что любой нециклический оператор завершается и передает управление на его выход.

Наибольшее распространение получили два метода логического анализа завершения циклических вычислений:

• метод Флойда;

• метод счетчиков.

Метод Флойда

Этот метод может рассматриваться как дальнейшее развитие метода индуктивных утверждений. Основная идея метода состоит в том, чтобы с каждой контрольной точкой программы, лежащей на циклическом пути, связать некоторую частичную функцию, значения которой ограничены.

Для формализации этой идеи в достаточно общей форме введем понятие фундированного множества.

Пусть S – частично упорядоченное множество относительно бинарного отношения  на его элементах, т.е. на множестве S для a, b и с  S выполняются свойства:

• антирефлексивности (a  a) ;

• антисимметрии a # b  ((b  a)) ;

• транзитивности a  b  b # c  a # c.

Множество S называется фундированным, если не существует бесконечной убывающей последовательности элементов из S.

Примеры фундированных множеств:

• множество натуральных чисел с отношением < ;

• множество ^* всех слов в алфавите , включая пустое слово с отношением w₁ < w₂, означающим что w₁ есть собственное подслово w₂.

Пусть Prgm – аннотированная программа, для которой методом индуктивных утверждений доказана частичная корректность. С каждой контрольной точкой r, лежащей на циклическом пути ( для этой точки существует обратный путь в точку r), свяжем частичную (ограничивающую) функцию _r (x₁, … , x_n), принимающую значения в фундированном множестве S.

Для каждого пути  между парой соседних контрольных точек r и t (r может совпадать с t), лежащих на циклическом пути, определим условие завершения в виде

W_: ( inv_r(x₁, …, x_n)  (_Û(x₁, …, x_n))  (_r(x₁, …, x_n)S 

_t(_(x₁, …, x_n))S  _r(x₁, …, x_n) _t(_(x₁, …, x_n))))),

где U_: inv_r(x₁, …, x_n)  (_Û(x₁, …, x_n))  inv_t(_(x₁, …, x_n)) – условие корректности метода индуктивных утверждений, _ – обратное преобразование, осуществляемое на пути  в методе индуктивных утверждений, т.е.

U₀ = _Û(x₁, …, x_n)  inv_t(_(x₁, …, x_n)), где (_r – ограничивающая функция вида X₁ X₂ … Xn  S, приписанная точке r.

Для доказательства завершенности программы методом Флойда может потребоваться усиление инвариантов, используемыхв доказательстве частичной корректности. В целом успех доказательства в значительной мере предопределяется искусством выбора ограничивающих функций .

Метод счетчиков

Идея этого метода состоит во введении в программу Prgm новых переменных-счетчиков, добавляемых по одной в каждый цикл программы. Переменная-счетчик должна инициализироваться перед входом в цикли увеличивать свое значение при каждом прохождении по циклу.

В преобразованной таким образом программе Prgm’ измененные инварианты циклов представляются в виде, содержащем условие ограниченности значений счетчиков функциями, зависящими только от входных переменных.

В отличие от метода Флойда этот метод не требует введения ограничивающих функций в контрольных точках. Переменные-счетчики рассматриваются как органическая часть программы, позволяющая логически выразить свойство завершенности в инвариантах цикла.

Преимущество этого метода перед методом Флойда состоит в том, что одни и те же инварианты используются при доказательстве частичной корректности и завершенности. Однако метод Флойда обладает большей общностью.

Успех доказательства завершенности в методе счетчиков определяется тем, удастся ли подобрать соответствующее условие ограниченности счетчика в инварианте цикла.

Этот метод, так же как и метод Флойда, требует творческого подхода программиста.