Değişim koruyucu olarak çerçeve kuralı?

Aşağıdaki gibi bir çerçeve kuralı , çalıştırmadan önce cönkoşullu pve qsonrasında da geçerli olan sonkoşullu bir program verildiğinde , bazı ayrık koşulların rhem cçalıştırmadan önce hem de sonra tutulması gerektiği fikrini yakalar . ( *Bağ, bağımsız değişkenlerinin ayrık olmasını gerektirir.) Genellikle, ön ve son koşullar bir yığının durumlarıdır ve yığını cbir şekilde değiştiren etkili bir programdır.

    {p} c {q}
----------------- (where no free variable in r is modified by c)
{p * r} c {q * r}

Gördüğüm çerçeve kuralının tartışmaları her zaman öbeğin ayrık kısmının nasıl rkorunduğuna odaklanıyor gibi görünüyor . Bu, "yerel muhakeme" yi mümkün kılar: sahip olduğu etki hakkında muhakeme yaparken , yığının bir kısmını cgöz ardı edebilir rve kendimizi yalnızca gerçekte değişen kısım ile ilgilenebiliriz. Ancak ona bakmanın bir başka yolu , şu an orada oturmuş olsa bile, ' pdanq ' değerine geçişin korunmasıdır r. Başka bir deyişle, biz sonşartının ile bitirmek önemlidir {q * r}ziyade, {q' * r}diğer bazı için q'.

Benim sorum şu: çerçeve kuralının, pher qşeyden değişimin korunmasını tartışan veya kullanan herhangi bir tedavisi olup olmadığıdır .

lo.logic pl.programming-languages program-logic

— Lindsey Kuper
kaynak

: Kendi sorusuna verilecek yanıt bu yazıda olduğu software.imdea.org/~gotsman/papers/interproc-sas06.pdf P C'nin ayak izi ulaşacaktır ise yürütme, sonra Frame göre" cümle (vurgu mayın) 'de, C ek bellek R'nin varlığında aynı davranışla sonuçlanır ve C fazladan belleğe dokunmaz. " Ben sadece "C fazladan belleğe dokunmaz" yanı sıra, işaret etmek birini arıyorum "aynı davranış sonuçları" olduğunu. (Bağlantı için @kaosjester'a teşekkürler.)

— Lindsey Kuper

Eğer çerçeve kural ve Ayırma Mantık diğer kurallar sağlamlığı provaları yoluyla okursanız onlar, yani sen sonra tam olarak ne yaptığını keşfedecek, nereden değişiklik hakkında konuşmak

için

korunur. Burada belirtilen yerellik ve çerçeve özelliklerine dikkat edin.

p

$p$

q

$q$

— Uday Reddy

Yanıtlar:

Ancak bu qözellikte değişiklik yapılmaması aslında geçerli değildir!

Düşünün {emp} x := alloc(0) {x |-> 0}. Şimdi, eğer çerçeveye girersem y |-> 3,

{y |-> 3} x := alloc(0) {x |-> 0 * y |-> 3}

ancak sonuç kuralına göre, son koşulu şu şekilde değiştirebilirim:

{y |-> 3} x := alloc(0) {(x |-> 0 /\ x != y) * y |-> 3}

Bunu daha somut hale getirmek yiçin, sayı olduğunu varsayalım 37. Tahsis komutunu tamamen boş bir yığın halinde çalıştırdığımda, adres tahsis edeceğim 37, böylece x = 37. Ancak, bunun yerine adreste tek bir hücre içeren bir yığınla başlarsam y = 37, bu sonuç artık mümkün değildir! Ön koşula bir çerçeve eklenmesi, son koşuldaki belirsizliğin bir kısmını budanmıştır.

"Yerel eylem ve soyut ayırma mantığı" (Calcagno, O'Hearn ve Yang), çerçeve kuralını daha derin, anlamsal bir perspektiften anlamakla ilgilidir. Makalenin temel tanımı, bir eylemin bir program (anlamsal temsili) olduğu "eylemler" için yerelliktir . Yerellik, bazı çerçeve yığınlarına eklediğinizde , orijinal son koşulun değiştirilebilmesinin tek yolunun, yukarıda belirtildiği gibi bazı belirsizliği budamaktır. Ve aslında, budama sadece tahsis nedeniyle ortaya çıkar.

— Aaron Turon
kaynak

Örnek ve referans için teşekkürler! Örneğiniz mantıklı. Yine de, bunun qsadece " qve ayrıca ..." olarak değişebileceğini söylemek adil mi? Ve ayrıca, eğer tahsis, postcondition'da belirsizliği bulan tek şey ise (ki bu kendi içinde harika bir sonuçtur), o zaman, postcondition'ın konumdan bağımsız olan bir kısmı varsa, o zaman postcondition'ın bu kısmı aynı kalmayı mı garanti ediyorsunuz? Son koşulun, konumların alfa yeniden adlandırılmasıyla aynı kaldığını söyleyebilir miyiz? (Aklımda bir örnek var, ama belki de bu e-posta yoluyla daha iyi açıklanır.)

— Lindsey Kuper

Evet, qyalnızca " qve ayrıca ..." olarak değişebilir Başka bir deyişle, son koşul yalnızca daha güçlü olabilir : orijinal son koşul anlamına gelir. Bu, eylemler için yerellik tanımının bir parçasıdır. Ancak, son koşuldaki değişikliğin yalnızca yeniden adlandırmaya bağlı olduğu doğru değildir. Verdiğim örnekte, xve yfarklı olan ekstra gerçek, seçilen adrese bakılmaksızın doğrudur y. Örnek , yeniden adlandırma altında değişmez olan tahsisin tazeliğini yakalar .

— Aaron Turon

İlk olarak, sorunuzun ifadesinde küçük bir yanlış anlama var, bu da Aaron'un cevabında da başlamıştı. Ayırma mantığındaki tahminler kümeler kümesidir (veya eşdeğer olarak kümeler üzerinde tahmin eder) ve ayırma bağlantısı şu şekilde tanımlanır: $P \ast Q$

$P * R, ≜ {h_{1} \cdot h_{2} | h_{1} \in P \land h_{2} \in R, \land d Ö m (h_{1}) \cap d Ö m (h_{2}) = \emptyset}$ $P \ast R \triangleq \{h_1 \cdot h_2 \;|\; h_1 \in P \;\wedge\; h_2 \in R \;\wedge\; \mathrm{dom}(h_1) \cap \mathrm{dom}(h_2) = \emptyset\}$

Yani çerçeve kuralında

$\frac{{P} c {S}}{{P * R,} c {S * R,}}$ $\frac{\{P\}c\{Q\}}{\{P\ast R\}c\{Q \ast R\}}$

(ve ve ) belirli yığınlardan bahsetmemektedir --- yığınlarınözellikleridir(alt kümeler ve tahminler eşdeğerdir). Neler olduğunu anlamanın en iyi yolu, bir Hoare üçlüünün ne anlama geldiğinin tanımına bakmaktır: $R$ $P$ $Q$

${P} c {S} ≜ \forall h_{1} \in P . \forall h^{'} \in'H e bir p st h^{'} # h_{1} . \exists h_{2} \in S . ⟨ h_{1} \cdot h^{'}; c ⟩ \mapsto^{*} ⟨ h_{2} \cdot h^{'}; s k ben p ⟩$ $\{P\}c\{Q\} \triangleq \forall h_1 \in P.\; \forall h' \in \mathrm{Heap}\;\mbox{s.t.}\; h' \# h_1.\;\exists h_2 \in Q.\; \left<h_1\cdot h'; c\right> \mapsto^\ast \left<h_2\cdot h'; \mathsf{skip}\right>$

Bu tanım temelde koşarsan ki (1) diyor herhangi biriyle de , o zaman bazı son durum içinde bitiririz de ve herhangi ekstra bellek üzerinde eklerseniz (2) , yani bellek olacak koşu sonunda değişmeden. Ama bu notu belirli Alacağınız farklı seçimleri için, farklı olabilir --- Ne garantili ediliyor olmasıdır özellikleri ve tam olarak aynı sonuç yığın olsun ki uzantısı altında tutmaya devam edecektir. $c$ $h_1$ $P$ $h_2$ $Q$ $h'$ $h_2$ $h'$ $P$ $Q$

Hoare üçlü tanımının çerçeve kuralının sahip olduğunu ima ettiğini görmek çok zor değil, ama yine de çalışmaya değer. Belirttiğiniz gibi, bu bir tür "değişikliklerin korunması" özelliğidir ve eşzamanlı ayırma mantığındaki paralel kompozisyon kuralı ifadesinde özellikle canlı bir ifadeye sahiptir:

$\frac{{P_{1}} c_{1} {S_{1}} {P_{2}} c_{2} {S_{2}}}{{P_{1} * P_{2}} c_{1} | | c_{2} {S_{1} * S_{2}}}$ $\frac{\{P_1\}c_1\{Q_1\} \qquad \{P_2\}c_2\{Q_2\}}{\{P_1 \ast P_2\}c_1 || c_2 \{Q_1 \ast Q_2\}}$

$c_1$ $c_2$

Bu makalede Hoare ve ark., Yerellik Üzerine ve Eşzamanlı Süreçler için Değişim Kanunu tarafından birleştirilmiş bir program ve iddiaların bir cebirinin nasıl verileceğini gösterdikleri bir tartışma var .

— Neel Krishnaswami
kaynak

Hoare üçlülerinin tanımı yanlış görünüyor: Yürütmenin başarısız olmadığını, sonlandırmaya izin vereceğini, muhtemelen güvenlik monotonikliği olmayan modelleri engellememesi gerektiğini söylemeliyiz. (Ancak, evet, açıkladığınız nedenlerle "değişikliklerin korunması" hakkında konuşmanın tamamen makul olduğunu kabul ediyorum.)

— Radu GRIG

(1) Toplam doğruluk üçlüleri için semantik verdim ve bu yüzden komutun güvenli bir şekilde tamamlandığını iddia ediyor - toplam doğruluğun, ön ve son koşulların ahlaksız / varolan karakterini açıklamayı daha kolay hale getirdiğini görüyorum. (2) Bu üçlü anlambilimi, dil anlambiliminde güvenlik tekdüzeliği olmayan dilleri üçlü anlamına getirerek işlemek için (Birkedal ve Yang tarafından IIRC) icat edilmiştir. Sonuç olarak, yine de Hoare mantığı için çerçeve kuralına sahipken, dilde monotonik olmayan yapılara (örneğin, yığının ne kadar büyük olduğuna dair sorgular) sahip olabilirsiniz.

— Neel Krishnaswami

c

$c$

Teşekkürler Neel! Haklısın, P ve Q özelliklerini belirli yığınlarla karıştırıyordum. Yani, yorumunuzu özetlemek gerekirse: Q korunur, ancak sonunda elde ettiğiniz özel yığın , daha önce aldığınızdan farklı bir Q tatmin edici yığın olabilir. Evet?

— Lindsey Kuper

@RaduGRIGore: evet, dilin deterministik olduğunu varsayıyordum ve eşzamanlılık eklediğimizde bu varsayım başarısız olacak. İyi yakaladın!

— Neel Krishnaswami

100% ile ilgili olmasa da, bu sözleşme idempotence lezzet vardır.

{P} 'yi c üzerinde bir ön koşul olarak ve {q}' yi c üzerinde bir son koşul olarak düşünürsek, bu bir çerçeve kuralı fikri, ön ve son koşulların hesaplamanın her bağlamında değil, başka hiçbir şeyin olmadığı basit durum.

Bununla birlikte, okuduğum düzinelerce sözleşme belgesinin herhangi birinde sunulan böyle bir çerçeve kuralı gördüğümü söyleyemem. Yine de, bu kesinlikle harika bir fikirdir ve böyle bir değişikliğe ihtiyaç duymak , idempotent sözleşmelerin makul ve somut bir anlayışını geliştirmek için çok şey yapabilir .

— kaosjester
kaynak

Yorum için teşekkürler. Hm, ilginç - Bunu okuyan herkes çerçeve özelliklerini belirten sözleşme kağıtlarını biliyor mu merak ediyorum.

— Lindsey Kuper