04 程序正确性证明与分析
程序正确性
第三章 程序的正确性证明一、 F loyd-Hoare 规则公理方法前提条件,初始状态 前置断言结论,终止状态满足的条件 后置断言 程序规范:程序的前置断言和程序的后置断言组成。
程序的状态:程序执行到某一时刻,程序中所有变量的一组取值。
初始状态:所有变量的取值使程序的前置断言为真的状态。
终止状态:所有变量的取值使程序的后置断言为真的状态。
程序的执行可以看作是程序状态的变迁。
1、完全正确性断言:程序S 的执行开始于满足P 的状态,则该执行必定能在有限的时间内终止,且终止的状态满足Q ,则称完全正确性断言,记为{P}S{Q}2、部分正确性断言:程序S 的执行开始与满足P 的状态,若此执行能在有限的时间内终止,则终止时的状态满足Q ,则称部分正确性断言,记为[P]S[Q](一)预备规则1)如果执行之前P 是真,执行之后Q 也是真,则记为Q P ⊃2) 若n 条路径在语句T 之前汇合,则所有前面语句S i 的结论Q i 都必须在逻辑上蕴含语句T 的前提P ,就是说 P Q i ⊃,其中, i=1,2,…,n.。
P Q ⊃1,P Q ⊃2,P Q ⊃33)若断言P 在条件B 的判断之前成立,则判断的两个结论分别是B P ∧ 和 B P ⌝∧程序,语句 逻辑谓词 逻辑谓词 n2 (0<X<10)P B ⌝4) 若断言P 位于赋值E 于变量I 之后,则P 中出现的所有I 替换成E ,可得到赋值的前提(称赋值等效)。
5) 凡蕴含一语句前提的断言,都是这个语句的前提。
凡一语句结论所蕴含的断言,都是这个语句的结论。
','Q Q P P ⊃⊃{P ’}S{Q ’}为真,则{P}S{Q}为真。
(二)Hoare 验证系统 1. 空语句skip {P}skip{P} 结论即为前提2. 赋值语句{IE P } I:=E {P}由规则43. 条件语句{P} if B then S 1 else S 2 {Q} 由规则3得到{B P ∧}S 1{Q}和{B P ⌝∧}S 2{Q}为表示方便,我们可用证明规则的一般形式HH H H n,...,,21来记,其中n H H H ,...,,21是规则的前提,H 是结论,它表示如果’n H H H ,...,,21为真,那么H 也为真。
谈程序的正确性
谈程序的正确性不管在学术圈还是在工业界,总有很多人过度的关心所谓“程序的正确性”,有些甚至到了战战兢兢,舍本逐末的地步。
下面举几个例子:•很多人把测试(test)看得过于重要。
代码八字还没一撇呢,就吵着要怎么怎么严格的测试,防止“将来”有人把代码改错了。
这些人到后来往往被测试捆住了手脚,寸步难行。
不但代码bug百出,连测试里面也很多bug。
•有些人对于“使用什么语言”这个问题过度的在乎,仿佛只有用最新最酷,功能最多的语言,他们才能完成一些很基本的任务。
这种人一次又一次的视一些新语言为“灵丹妙药”,然后一次又一次的幻灭,最后他们什么有用的代码也没写出来。
•有些人过度的重视所谓“类型安全”(type safety),经常抱怨手头的语言缺少一些炫酷的类型系统功能,甚至因此说没法写代码了!他们没有看到,即使缺少一些由编译器静态保障的类型安全,代码其实一点问题都没有,而且也许更加简单。
•有些人走上极端,认为所有的代码都必须使用所谓“形式化方法”(formal methods),用机器定理证明的方式来确保它100%的没有错误。
这种人对于证明玩具大小的代码乐此不疲,结果一辈子也没写出过能解决实际问题的代码。
100%可靠的代码,这是多么完美的理想!可是到最后你发现,天天念叨着要“正确性”,“可靠性”的人,几乎总是眼高手低,说的比做的多。
自己没写出什么解决实际问题的代码,倒是很喜欢对别人的“代码质量”评头论足。
这些人自己的代码往往复杂不堪,喜欢使用各种看似高深的奇技淫巧,用以保证所谓“正确”。
他们的代码被很多所谓“测试工具”和“类型系统”捆住手脚,却仍然bug百出。
到后来你逐渐发现,对“正确性”的战战兢兢,其实是这些人不解决手头问题的借口。
衡量程序最重要的标准这些人其实不明白一个重要的道理:你得先写出程序,才能开始谈它的正确性。
看一个程序好不好,最重要的标准,是看它能否有效地解决问题,而不是它是否正确。
如果你的程序没有解决问题,或者解决了错误的问题,或者虽然解决问题但却非常难用,那么这程序再怎么正确,再怎么可靠,都不是好的程序。
《程序正确性证明》课件
证明概念和技巧
H oare Log ic
学习Hoare逻辑的前置条件、 后置条件和循环不变式。
推导规则
掌握推导规则的使用,为 程序正确性证明正 确性证明的步骤和方法。
各种程序验证工具
Frama-C
了解Frama-C工具的使用,对 程序进行静态分析和验证。
KeY
Z3
展望
1 技术发展
展望程序正确性证明 技术的未来发展,如 何应对新挑战。
2 教育培训
推广程序正确性证明 教育的重要性,并提 供更多培训资源。
3 行业应用
鼓励更多行业应用程 序正确性证明技术, 提升整体软件质量。
总结
通过本课程,您了解了程序正确性证明的重要性及其应用领域,并学到了一 些证明技巧和工具。希望您能用这些知识提升自己的程序开发能力。
学习如何使用反证法来证明程序的正确 性。
掌握数学归纳法的运用,以证明程序的 正确性。
为什么需要程序正确性证明?
1 保证功能正确
通过证明程序的正确 性,可以确保程序按 照预期的方式工作。
2 提高软件质量
程序正确性证明可以 排除潜在的错误,从 而提高软件质量。
3 节省开发时间
通过在开发过程中进 行正确性证明,可以 减少错误修复的时间 和成本。
掌握KeY工具的功能,用于形 式化验证和推理程序正确性。
学习Z3求解器的原理和用法, 用于程序的自动验证和证明。
应用案例
1
操作系统
了解如何使用程序正确性证明技术开发高可靠性的操作系统。
2
航空航天
探索航空航天领域如何应用程序正确性证明加强飞行安全。
3
金融系统
了解金融系统如何利用程序正确性证明技术保护客户的资金安全。
第3章_程序的正确性证明
…实例…
(1) 分析这一段说明,列出原因和结果
原因:
1. 售货机有零钱找 2. 投入1元硬币 3. 投入5角硬币 4. 押下橙汁按钮 5. 押下啤酒按钮
建立中间结点,表示处理中间状态
11. 投入1元硬币且押下饮料按钮 12. 押下〖橙汁〗或〖啤酒〗的按钮 13. 应当找5角零钱并且售货机有零钱找 14. 钱已付清
程序测试
1983年IEEE提出的软件工程术语中给软件测试下的定 义是:“使用人工或者自动手段来运行或测定某个系 统的过程,其目的在于检验它是否满足规定的需求或 是弄清预期结果与实际结果之间的差别。”
测试是程序的执行过程,目的在于发现错误。 一个好的测试用例在于能发现至今未发现的错误; 一个成功的测试是发现了至今未发现的错误的测 试。
…实例…
结果:
21. 售货机〖零钱找完〗灯亮 22. 退还1元硬币 23. 退还5角硬币 24. 送出橙汁饮料 25. 送出啤酒饮料
(2) 画出因果图。所有原因结点列在左边,所有结果 结点列在右边。 (3) 由于 2 与 3 ,4 与 5 不能同时发生,分别加上约束 条件E。 (4) 因果图
…实例…
对一个具有多重选择和循环嵌套的程序,不同的路 径数目可能是天文数字。给出一个小程序的流程 图,它包括了一个执行20次的循环。 包含的不同执行路径数达520条,对每一条路径进行 测试需要1毫秒,假定一年工作365 × 24小时,要想 即使能完成这样 把所有路径测试完,需3170年。
的测试,也不意 味差程序没有错 误。如:x=x+z, 错误写成x=x-z,且 当z=0时,这种错 误仍然难以发 现。 测试常常是不充分的,它只能 发现某些错误存在,而不能证 明错误的不存在 。
…实例…
04 程序正确性证明与分析
E.W.Dijkstra j 指出: 指出 “程序测试能证明错误的存在, 但不能证明错误不存在.” 测试的目的是发现程序中的错 误,是为了证明程序有错, 而 不是证明程序无错.
5
把证明程序无错当作测试目的不仅
是不正确的, 完全做不到的 程序测试要设法使程序发生故障, 暴露程序中的错误 测试的“成功”与“失败”
11
x≥0∧y>0 x→r 0→q r≥y
T F
{ x≥0 ∧ y>0 } S {r=x%y} 该程序正确
成立
x = q * y + r ∧ r≥0∧y>0∧r<y
r-y → r q+1→q
x = q * y + r ∧ 0 ≤ r<y∧y>0 x - r = q * y ∧ 0 ≤ r<y∧y>0 x - r = q * y ∧ 0 ≤ r< y q = x DIV y ∧ r = x MOD y r=x%y
9
11.2.1 预备知识
1. {P} S {Q}
P S Q
前断言(前谓词、前提): 在程序S执行之 前成立的断言, 称为前断言 后断言(后谓词、结论): 在程序S执行之 后成立的断言, 称为后断言
{P} S {Q}: 如果前断言满足P, 执行程序S后, 后断言 后断言一 定满足Q 如果P是程序S 的初始条件, Q是执行程序S应达到的结 果, 那么证明程序S的正确性, 就是证明表达式{P}S{Q} 成立
例 (2):证明下面程序正确 x≥0∧y>0 x→r x≥0∧y>0∧r=x 0→q r≥y
T
{ x ≥0 ∧ y>0 } r = x; q = 0; while (r >= y) { r = r-y; y; q = q q+1; ;} {r=x%y}
程序正确性证明的方法与技术
程序正确性证明的方法与技术第一章:引言在计算机科学领域中,程序正确性一直是一个重要的问题。
一个正确的程序能够按照预期的方式运行,并且产生正确的结果。
然而,由于程序的复杂性和人为错误的存在,程序的正确性往往难以保证。
因此,为了确保程序的正确性,人们提出了各种不同的方法和技术来进行程序正确性证明。
第二章:静态分析静态分析是一种常用的程序正确性证明方法。
它通过检查程序的源代码或中间表示来发现潜在的错误。
静态分析可以帮助检测常见的编程错误,如空指针引用、数组越界访问和未初始化变量等。
静态分析工具可以在编译时或者运行时进行分析,并提供相应的警告或错误信息。
静态分析方法有很多种,包括类型检查、数据流分析和符号执行等。
类型检查可以检查程序中变量的类型是否匹配,从而避免类型错误的发生。
数据流分析可以分析程序中数据的流动情况,帮助发现潜在的错误和不一致性。
符号执行是一种通过对程序的符号进行替换和计算来进行分析的方法,它可以发现程序中的不变量和约束条件,并用于证明程序的正确性。
第三章:模型检测模型检测是一种通过构建系统的形式化模型来验证程序的正确性的方法。
它将系统的行为抽象成一组状态和转换规则,并使用逻辑表达式来描述系统的性质。
然后,模型检测工具可以自动地遍历系统的状态空间,并检查所描述的性质是否成立。
模型检测方法可以用于验证各种类型的系统,包括并发系统、分布式系统和硬件系统等。
它可以帮助发现系统中的死锁、活锁和资源竞争等问题,并提供相应的修复建议。
模型检测方法的优势在于它可以自动化地进行验证,并且可以发现系统中的隐藏错误,从而提高程序的可靠性。
第四章:形式化验证形式化验证是一种使用数学方法来证明程序正确性的方法。
它通过将程序的语义和性质形式化为数学公式,然后使用定理证明或模型检验等技术来验证这些公式的真假。
形式化验证方法可以提供严格的证明,从而确保程序的正确性。
形式化验证方法有很多种,包括定理证明、模型检验和符号模型检验等。
程序正确性证明与程序测试
1.试比较程序正确性证明与程序测试
正确性证明是论证程序达到预期目的的一般性陈述,而该论证与程序输入数据的特定值无关,能够代表穷举性测试。
程序测试是指测试者特意挑出一批输入数据,通过运行程序,检查每个输入数据所对应的运行结果是否符合预期要求。
Dijkstra说过“程序测试只能证明程序有错,不能说明程序正确”。
除非进行穷举行测试。
2.什么是程序的正确性?试叙述程序正确性证明的基本思想和过程
正确性证明是论证程序达到预期目的的一般性陈述,而该论证与程序输入数据的特定值无关,能够代表穷举性测试。
主要是利用谓词演算和演算规则集合来证明程序的部分正确性。
主要方法。
4.说明程序正确性断言{P}S{Q}的含义,及证明它成立的方法
如何确认一个子类是真正的、忠实的合乎规则的子类型?即子类的类型和父类的类型保持一致所要做的工作是:
从类不变式、方法的前置和后置条件、状态空间和行为等方面加以约束。
形式化方法--程序的正确性验证-14资料
第十四讲形式化方法--程序的正确性验证一、概述计算机的程序是一种静态的对象,但它所描述的问题(问题的解)却是一个动态的对象。
所谓的程序设计就是用程序设计语言中的语句改变程序中数据对象的状态,构造所描述问题的动态行为。
这是不自然的,程序所描述的动态行为也无法直接用程序本身的静态结构进行正确性证明。
形式化规约(formal specification)是需求阶段的形式化说明,是用户需求的严格描述,其一般形式用Hoare逻辑描述[1]如下:├{Φ}P{Ψ} <1>其中Φ和Ψ分别表示初始和结束断言条件,其含义是:“假如初始状态d I满足条件Φ,那么程序结束并且终结状态d f必须满足Ψ”。
设D=D1×……×D n为程序P的状态空间,其中,D j(j=1,……,n)表示程序中数据对象的值域。
显然,由Φ和Ψ断言条件所确定的合法初始和结束状态的集合是D的一个子集。
执行函数E:Φ×P→Ψ定义如下:无定义对合法的初始状态d i,程序P不结束E(P,d I)=终结状态d f对合法的初始状态d i,程序P结束程序的正确性即为:├{Φ}P{Ψ}iff <2>∀d i(├Φ(d i)→(├程序P结束 and ├Ψ(E(P,d i))))总地来讲,验证一个程序的正确与否有两种办法,一种是程序的测试,另一种是程序的正确性证明。
1.程序的测试与程序的验证对给定的一个合法的初始状态d i,当程序执行结束时其终结状态为d f,那么,Φ(d i)和Ψ(d f)都应该被满足。
这一点可用下式表示:{d i}P{d f} <3>所谓程序的测试就是验证测试用例{d i}P{d f},即验证程序对d i的执行结果是否为d f。
由于合理的初始状态是无限的,因此,对程序验证来讲,测试不是一个完备的方法。
测试被认为是一种尽量发现错误,但并不能保证程序中没有错误[2]的方法。
对大数应用来讲,它是可满足的;但对有些应用来讲,测试是一种不能满足的验证方法,例如:航空、航天等领域的软件系统。
程序的正确性
• 程序正确性证明就是采用严格的数学方法 评价一个程序是否达到了预定的性能。 • 或者说,对任何一组允许的输入信息,程 序执行后能得到一组和这组信息相对应的 正确的输出信息。
归纳断言法
• R.W.Floyd提出归纳断言法 • 用一组谓词公示来刻画程序在其执行过程 中的状态,并称为断言 • 在假定程序能够执行的情况下,通过考察 各断言能否成立,来实现对程序部分正确 性的证明
步骤
• 二、建立了上述断点后,程序执行过程中 所有可能的通路就可以分解为一些有限的 通路,每条通路都连接两个断点。按照下 面的方式为每条通路建立一个检验条件: 设通路j连接断点i和k,则检验条件为: • Pi(X,Y) ∧Rj (X,Y) Pk(X,rj (X,Y) )
说明
• Pi(X,Y) ∧Rj(X,Y) Pk(X,rj (X,Y) )
如果在通路j的入口点i处有断点Pi(X,Y) 成 立,通过通路j的条件为Rj (X,Y) ,并且通过 通路j后Y的值变为rj (X,Y),则通过通路j到 达k点时有 Pk(X,rj (X,Y) ) 成立
说明ห้องสมุดไป่ตู้
• 特别地,如果通路j的入口点为程序的入口 点,则检验条件为: • φ (X) ∧Rj(X,Y) Pk(X,rj (X,Y) ) • 特别地,如果通路j的结束点为程序的结束 处,则检验条件为: • Pi (X,Y) ∧Rj(X,Y) ψ(X,Z )
例子
步骤
• 一、建立断言 • (1)将程序开始处看作一个断点,为其建 立φ (X) • (2)将程序结束处看作一个断点,为其建 立ψ (X,Z) • (3)如果程序中存在循环,则在每个循环 中选取一个断点i,并建立断言Pi (X,Y)
说明
• X代表程序的所有输入变量,即: X=(X1……Xm) • Y代表程序执行过程中的中间变量,即: Y=(Y1……Ym) • Z代表程序的输出变量,即: Z=(Z1……Zm)
程序正确性证明
程序正确性的证明方法分类
证明部分正确性的方法 A. Floyd的不变式断言法 B. Manna的子目标断言法 C. Hoare的公理化方法
终止性证明的方法 A. Floyd的良序集方法 B. Knuth的计数器方法 C.Manna等人的不动点方法
完全正确性的方法 A. Hoare公理化方法的推广 B. Burstall的间发断言法 C. Dijkstra的弱谓词变换方法以及强验证方法
检验条件3 y12 ≤x ∧ y2=(y1+1)2 ∧y3 = 2y1+1 ∧ y2>x => y12 ≤x<(y1+1)2 证明: y12 ≤x x<y2,y2=(y1+1)2 =>x<(y1+1)2
作业 课本P174习题1、习题2。要求用不变式断言法证明。
5.3子目标断言法
子目标断言法与不变式断言法的主要区别是: ➢ 两种方法对循环所建立的断言不同。 ✓ 不变式断言描述了程序变量y的中间值与初始值之间关系; ✓ 子目标断言法描述的是y的中间值与循环终止时的最终值yend之间的关系。 ➢ 两种方法进行归纳的方向不同。 ✓ 不变式断言沿着程序正常执行的方向进行归纳; ✓ 子目标断言法则沿着相反方向进行归纳。
y2:=y2-y1
不变式断言法实例1(建立检验条件)
检验条件: I ∧ R => O 通路1:
I(x1,x2)=> P(x1,x2,y1,y2) x1>0 ∧ x2>0 =>
x1>0∧ x2>0 ∧ y1>0 ∧Y2>0 ∧ gcd(y1,y2)=gcd(x1,x2) 通路2:
P(x1,x2,y1,y2) ∧ y1<>y2 ∧ y1>y2 => P(x1,x2,y1-y2,y2) x1>0 ∧x2>0 ∧ y1>0 ∧ y2>0 ∧ gcd(y1,y2)=gcd(x1,x2) ∧ y1<>y2 ∧ y1>y2
程序设计方法学--第三章 程序正确性证明
START
(x1,x2)->(y1,y2)
F
y1<>y2
T
z:=y1
y1>y2
T F
STOP
y1:=y1-y2
y2:=y2-y1
西南石油大学计算机科学学院
17
不变式断言法实例1(建立断言)
输入断言:I(x1,x2):
x1>0x2>0
输出断言:O(x1,x2,z): z=gcd(x1,x2) 循环不变式断言(断点选为b): P(x1,x2,y1,y2): x1>0
法。
西南石油大学计算机科学学院
3
程序正确性证明发展历程
• • • • 20世纪50年代 Turing开始研究 1967年,Floyd和Naur提出不变式断言法 1969年,Hoare提出公理化方法 1975年,Dijkstra提出最弱前置谓词和程序推导 方法,解决了断言构造难的问题,可从程序规 约推导出正确程序,使正确性证明变得实用。
通路3:B->C
P(x,y1,y2,y3) y2>x =>O(x,y)
y12<x y2=(y1+1)2 y3 = 2y1+1 y2>x => y12<x<(y1+1)2
西南石油大学计算机科学学院
22
不变式断言法实例
检验条件2
y12 < x
y2=(y1+1)2 y3 = 2y1+1 y2 ≤ x => (y1+1) 2 ≤ x y2+y3+2=(y1+1+1) 2 y3+1=2(y1+1)+1
程序正确性证明方法探论
这些定理不仅保证了程序验证系统能正确地逆向使用推理规则来分解产生出验证程序所需要的条件而且保证了当由程序验证系统每一步分解产生出的验证条件被证明成真时也就是当这些验证条件被证明为真时整个被验证程序的正确性就一定能够得到验证
维普资讯
程序正确性证明(上)
断 step4:为P提供每个割点的中间断言 step5:对P中每条不含中间割点的路径ai:
• 求该路径的 Rai 和 rai; • 写出该路径的检验条件 • 证明检验条件为真
step6:由于下列任一理由,该程序得不到证明:
t1(x,y)
T
Step4: R: t2(x,g2 (x,y))
r: g3(x,g2(x,y))
y= g2(x,y)
Step3: R: t2(x,y)
r: g3(x,y)
F
t2(x,y) Step2: R: T
y= g3(x,y) step1: R : T r: g3(x,y)
r:y
不变式断言法部分正确性证明算法
6.1 概述
• 基本概念
– 非形式化的程序验证是靠程序员阅读理解程序完成的。 – 程序测试是指测试者特意挑出一批输入数据,通过运
行程序,检查每个输入数据所对应的运行结果是否符 合预期要求。 – Dijkstra说过“程序测试只能证明程序有错,不能说明 程序正确”。除非进行穷举行测试。 – 正确性证明是论证程序达到预期目的的一般性陈述, 而该论证与程序输入数据的特定值无关,能够代表穷 举性测试。
程序正确性概念
• 定义1. 如果对于每一个使得P(ā)为真,程序S计 算都终止,称程序S对P是终止的。
• 定义2:对于满足P(ā)为真,且能够使程序S计算 终止的每个ā,如果Q(ā, P(ā))为真,则称程序S 对于P和Q是部分正确的。
• 定义3:对于满足P(ā)为真的每个ā ,如果程序S 能够计算终止,且Q(ā, P(ā))为真,则称程序S对 于P和Q是完全正确的。
程序正确性证明
缺乏有效工具的挑战
挑战
01
目前市场上缺乏高效、可靠的程序正确性证明工具,导致验证
过程耗时费力。
解决方案
02
加大研发力度,开发更多具有自主知识产权的程序正确性证明
工具。
解决方案
03
推广使用已有的开源工具和平台,提高工具的可用性和可维护
性。
缺乏专业人才的挑战
挑战
程序正确性证明需要专业的知识和技能,而目前 市场上缺乏足够的专业人才。
Part
04
程序正确性证明的挑战与解决 方案
证明复杂性的挑战
STEP 01
挑战
STEP 02
解决方案
随着软件和算法的复杂性 增加,程序正确性证明的 难度也随之增加。
STEP 03
解决方案
利用高级编程语言和开发 框架,简化程序设计和验 证过程,降低复杂性。
采用形式化方法和工具, 将复杂的程序逻辑转化为 数学模型,以便进行形式 化验证。
总结词
通过在实际运行程序时收集和分析运行时信息,评估程序 的正确性和性能。
要点二
详细描述
动态分析技术是一种在实际运行程序时收集和分析运行时 信息的方法,用于评估程序的正确性和性能。它通过监控 程序的运行状态、内存使用、CPU占用率等信息,分析程 序的动态行为,从而发现潜在的问题和错误。动态分析技 术能够提供更全面的信息,但需要实际运行程序,因此可 能无法覆盖所有情况。
测试与验证
总结词
通过实际运行程序并检查其输出,验证程序的正确性。
详细描述
测试与验证是一种实践性的方法,通过实际运行程序并检查其输出是否符合预 期结果,来验证程序的正确性。这种方法简单直观,但可能无法覆盖所有可能 的输入和状态,因此需要结合其他方法一起使用。
程序正确性证明
正确性证明的发展
50年代 Turing等 1967年 Floyd用断言方法证明框图程序的正确性 Hoare定义一个逻辑系统,含有程序公理和推导规则。目的侧重于 1969年 程序的部分正确性。此系统是一阶谓词逻辑的扩充。这就是著名的 Hoare逻辑。Hoare是第一个从正确性证明角度定义程序语言的。 Hoare和Wirth把Pascal的大部分公理化。Manna把部分正确性证明和 1973年 终止性证明归于一体。 1975年 第一个基于公理和推导规则的自动验证系统出现。 1976年 Dijkstra提出最弱前置谓词和谓词转换器的概念。 出现了用公理化思想定义的程序设计语言——Euclid。同年,Perlis 1979年 批评程序正确性证明不切实际。 1980年 Gries综合了以谓词演算为基础的证明系统,称为程序设计科学。 首次把程序设计从经验技术升华为科学。
T
y1>y2
F
E
y1-y2 y1
y2-y1 y2
证明…
• (1)建立断言
(x): x1>0 x2 >0 (x,z): z=gcd(x1,x2) P(x,y): x1>0 x2 >0 y1>0 y2 >0 gcd(y1,y2)= gcd(x1,x2)D
开始 A … (x) (x1,x2) (y1,y2) B y1=y2 F T y1>y2 … P(x,y) T y1 z G F E 结束
程序正确性验证 – Hoare公理学方法
• 1990年IEEE计算机先驱奖 • 1980年图灵奖 • 英国牛津大学计算机科学家查尔斯.霍尔(Charles Antony Richard Hoare) • 发明Quicksort算法、CASE语句 • 1963年实现了Algol语言 • 1969年1月,在Comm. Of ACM上发表“An Axiomatic basis for Computer Programming‖,提 出公理语义学 • 操作系统的Monitor • ACM 在1983年评出在近25年在CACM上发表的25篇 里程碑式的论文25篇,2人2篇,Hoare是其一
软件测试第12章 程序正确性证明
在操作语义学中,程序语义的定义由一个 模拟程序解释的形式系统组成,即是一个由程 序所规定的一系列活动的执行过程。
这种方法的中心目的是确定一个解释主语 言抽象程序的抽象机。
机器通过一个离散状态序列来解释程序。
在指称语义学中,程序的指称语义比操 作语义更为抽象。
个 S j , j1…n,Qi(i1…r)是Sj的前置条件, Rk(k1…t)是Sj的后置条件。如果
(j1L n)├( Vsj (Q1,Q2 L ,Qr;R1, R 2,L , R t ))
那么
├{φ}P{ψ}+
3.程序的完全正确性证明
(1)良序集
用FLOYD方法证明程序的终止性,要依 赖于良序集的概念。我们说集合C关于“>” 是良序的,如果对于x、y、zC,有: ● x≠y,那么x>y或y>x;
然而,这种机制在证明验证条件时才被应 用。因此,证明技术不能指导程序的开发。
12.2.6 HOARE的公理方法
1969年,HOARE在FLOYD理论的基 础上,定义了一个小语言和一个逻辑系统, 此逻辑系统含有程序公理和推导规则,目的 在于证明程序的部分正确性。此系统是一阶 谓词逻辑的扩充,这就是著名的HOARE系 统。
5.FLOYD归纳断言法存在的问题
FLOYD归纳断言法的主要缺陷是语法 和语义定义的相互独立性,在程序的开发中 没有形式地考虑它们最终的验证。在证明验 证条件失败的情况下,或者是由于程序的错 误,或者是由于有些断言不能被相应的SV定用 什么语法单位代替有错误的语法单位才能保证 验证条件成立;在后一种情况下,存在一个形 式化机制(变换器SVC)来帮助我们判断在语 法单位运行以后哪个断言是成立的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
x≥0∧y>0 x→r 0→q r≥y
T F
{ x≥0 ∧ y>0 } S {r=x%y} 该程序正确
成立
x = q * y + r ∧ r≥0∧y>0∧r<y
r-y → r q+1→q
x = q * y + r ∧ 0 ≤ r<y∧y>0 x - r = q * y ∧ 0 ≤ r<y∧y>0 x - r = q * y ∧ 0 ≤ r< y q = x DIV y ∧ r = x MOD y r=x%y
Chapter 11
程序的正确性证明与分析
内容概述
程序测试的概念和方法 程序正确性证明的有关概念和规则 公理化方法证明程序的正确性 最弱前置条件方法证明程序的正确性
1
11.1 程序测试--概念和方法
证明程序的正确性,就是证明对任何一 组程序允许的输入信息,程序执行后都 能到一组和这组输入信息相对应的输出 信息,即证明程序达到了预定效果 程序的测试,实质上只是一种抽样检查 程序的测试,实质上只是 种抽样检查
11.2.3公理化方法
3
千年虫问题最著名的软件可靠性问题的一个实例。事后 的分析认为,千年虫的影响并未象预测的那样严重。但 是据报道,全世界用于补救千年虫问题的费用估计已超 过1000亿美元。 美国标准与技术研究院估计,每年由于软件BUG造成 的损失为600-750亿美元,超过美国国内生产总值的 0.6%。但是美国可持续计算联盟认为这个估计有些保 守,他们认为存在缺陷的计算机系统每年会给美国公司 造成总额超过2000亿美元的损失。 我国典型统计数据表明,在软件开发阶段,平均每千行代 码有50~60 个故障,交付后平均每千行代码有15~18 个故障,有时还留下严重隐患。
S2
Q2 P
…
S1
Q1
Sn
Q Qn
-
S1 10<x<0
S2 0≤x<10 -10<x<10 T
T
13
…基本规则…
3. 若断言P在条件B的判断之前成立, 则判断 B 的 个结论 的二个结论分别是 P∧ B 和 P∧
P B T -10<x< 0 X<0 0≤x<10
-
10<x<10
P∧B
P∧ ¬B
x:=x+1
正确性证明
测试只能发现程序错误,但不能证明程序无错。 即所谓“挂一漏万”。
原因:测试并没有也不可能包含所有数据,只是选 择了一些具有代表性的数据,所以它具有局限性。
正确性证明是通过数学技术来确定软件是否正 确,也就是说,是否符合其规格说明。
8
11.2 Floyd-Hoare规则公理方法 一、程序正确性证明的有关概念和规则
正确性证明的发展
50年代 Turing等 1967年 Floyd用断言方法证明框图程序的正确性 Hoare定义一个逻辑系统,含有程序公理和推导规则。目的侧 重于程序的部分正确性。此系统是一阶谓词逻辑的扩充。这就 1969年 是著名的Hoare逻辑。 Hoare 是第一个从正确性证明角度定义程 序语言的。 Hoare和 Wirth把 Pascal的大部分公理化。 Manna把部分正确性证 1973年 明和终止性证明归于一体。 1975年 第一个基于公理和推导规则的自动验证系统出现。 第 个基于公理和推导规则的自动验证系统出现 1976年 Dijkstra提出最弱前置谓词和谓词转换器的概念。 出现了用公理化思想定义的程序设计语言—— Euclid。同年, 1979年 Perlis批评程序正确性证明不切实际。 Gries综合了以谓词演算为基础的证明系统,称为程序设计科 1980年 学。首次把程序设计从经验技术升华为科学。
程序测试的目标就是发现错误
软件测试背景
软件是人编的—所以不完美,实例:
Intel的pentium处理器 1994年浮点除法缺陷 2000年8月28日,1.13MHz处理器一个可能导致运行程序被挂 起的执行指令问题 1999年12月3日,美国航天局火星极地登陆飞船失踪 1991年爱国者导弹防御系统系统时钟错误积累造成
10
例 (1):证明下面程序正确
{x=a∧y=b} x=a x a∧ y y=b b x→r r=a∧y=b y→x r=a∧x=b r→y r = x; x = y; y = r; {x=b∧y=a}
{x=a∧y=b} 成立 S {x=b∧y=a}
该程序正确
y=a∧x=b x=b∧y=a
…基本规则…
4.若断言P位于赋值E于变量I之后, 则 将P中出现的所有E替换成I, 可得到 赋值的前提(也称为赋值等效). 即: { PEI } I:=E {P} 其中, PEI 表示在断言P中,用I去替换E
14
…基本规则…
5.(1)凡蕴含一语句前提的断言, 都是这个语句的前 提 即: 如果有: {P}S{Q} , 且P’ P成立, 则: {P’}S{Q} 成立 如: 由于 {x≥0} x=x+5 {x≥5} 而且 x>0 x ≥0 {x>0} } x=x+5 { {x≥5} } 成立 所以: { (2) 凡一语句结论所蕴含的断言, 都是这个语句的 结论 即: 如果有: {P}S{Q} , 且Q Q’成立, 则:{P}S{Q’} 成立
9
11.2.1 预备知识
1. {P} S {Q}
P S Q
前断言(前谓词、前提): 在程序S执行之 前成立的断言, 称为前断言 后断言(后谓词、结论): 在程序S执行之 后成立的断言, 称为后断言
{P} S {Q}: 如果前断言满足P, 执行程序S后, 后断言 后断言一 定满足Q 如果P是程序S 的初始条件, Q是执行程序S应达到的结 果, 那么证明程序S的正确性, 就是证明表达式{P}S{Q} 成立
程序规范:程序的前置断言和程序的后置断言 组成 程序的状态:程序执行到某一时刻,程序中所 有变量的一组取值 初始状态:所有变量的取值使程序的前置断言 为真的状态 终止状态 所有变量的取值使程序的后置断言 终止状态:所有变量的取值使程序的后置断言 为真的状态 程序的执行可以看作是程序状态的变迁
能够发现错误的测试是成功的测试,否则是失 败的测试。
测试方法
(1) 黑盒子方法 根据输入数据和程序执行结果去发现程序中的错 误。假如输入数据x、y是32位字长,则x、y 的可能值有:232×232=264
x
y
S z
6
(2) 白盒子方法 已知程序内部结构和流向 根据程序内部逻辑 已知程序内部结构和流向,根据程序内部逻辑 设计输入数据,去发现程序中的错误。
E.W.Dijkstra j 指出: 指出 “程序测试能证明错误的存在, 但不能证明错误不存在.” 测试的目的是发现程序中的错 误,是为了证明程序有错, 而 不是证明程序无错.
5
把证明程序无错当作测试目的不仅
是不正确的, 完全做不到的 程序测试要设法使程序发生故障, 暴露程序中的错误 测试的“成功”与“失败”
例 (2):证明下面程序正确 x≥0∧y>0 x→r x≥0∧y>0∧r=x 0→q r≥y
T
{ x ≥0 ∧ y>0 } r = x; q = 0; while (r >= y) { r = r-y; y; q = q q+1; ;} {r=x%y}
r-y → r q+1→q
r≥0∧y>0∧r=x∧q=0 x = q * y + r ∧ r≥0∧y>0 x = q * y + r ∧ r≥0∧y>0∧r<y F x = q * y + r ∧ r≥0∧y >0 ∧r ≥ y x = q * y + r ∧ r≥y ∧y>0 x = (q+1) * y + (r-y) ∧ r-y≥0 ∧y>0 x = (q+1) * y + r ∧ r≥0∧y>0 x = q * y + r ∧ r≥0∧y>0
12
11.2.2 基本规则…
1.一个语句S之前的断言,称为前提P,执行 语句S之后的断言,称为结论Q。如果执行 之前为真,执行之后也是真,则记为P Q
P S Q
…基本规则…
2. 若n条路径在语句T之前汇合, 则所有前面语 句Si 的结论Qi 都在逻辑上蕴含语句 都在 辑 蕴含 句T的前提P, 即: Qi P, 其中, i = 1, 2, … , n
金融、交通领域
2006年 2006 年10 10月 月10 10日 日,香港机场中央计 算机系统故障导致47个航班延误 算机系统故障导致47 个航班延误
2006 年 2 月 5 日 , 因是终端设备软件 2006年 问题, 问题 , 南京地铁全线售检票系统瘫 痪,有一万多名乘客受到影响。 有一万多名乘客受到影响。 2005 年 11 2005年 11月 月 1 日上午东京 股市因系统故障暂停交易跟踪 Nhomakorabea统失去精确度
千年虫,世界各地解决2000年错误超过数亿美元
2
航空航天领域
2005 年 4 月 , 电脑故 2005年 障导致美国宇航局的 一艘飞船与一颗军事 卫星相撞 2003年 2003 年 5 月 , 因飞船导航软件设计错误 因飞船导航软件设计错误, ,俄 罗斯“联盟— 罗斯“ 联盟—TMA TMA1 1”载人飞船返回途中偏离 了降落目标地点约460 了降落目标地点约 460公里 公里 2000 年 11 2000年 11月 月 11 11日 日 , 由于软 件错误导致美国飞机鱼鹰 MVMV -22 22坠毁 坠毁。 。