Bir daktilo için doğruluk kanıtı neyi kanıtlamalıdır?

Birkaç yıldır program yapıyorum, ancak teorik CS'ye çok aşina değilim. Son zamanlarda programlama dillerini incelemeye çalışıyorum ve bunun bir parçası olarak tip kontrolü ve çıkarım.

Sorum şu ki, bir programlama dili için bir tür çıkarım ve kontrol programı yazmaya çalışırsam ve daktilo makinemin çalıştığını kanıtlamak istersem, tam olarak aradığım kanıt nedir?

Düz dilde, tip denetleyicimin çalışma zamanında oluşabilecek bir kod parçasındaki hataları tanımlayabilmesini istiyorum. Uygulamamın doğru olduğunu kanıtlamak için Coq gibi bir şey kullanırsam, bu "doğruluk kanıtı" tam olarak ne göstermeye çalışır?

Soru iki şekilde yorumlanabilir:

• Uygulamanın belirli bir yazım sistemi uygulayıp uygulamadığı ?$T$
• Yazma sistemi , olması gerektiğini düşündüğünüz hataları önlüyor mu?$T$

Birincisi gerçekten program doğrulamasında bir sorudur ve yazmayla ilgisi yoktur. Sadece uygulamanızın şartnameye uygun olduğunu göstermesi gerekir, Andrej'in cevabına bakın.

Daha sonraki soru hakkında konuşayım. Andrej'in dediği gibi, soyut bir bakış açısıyla, bir yazım sistemi programların özelliklerini güçlendiriyor gibi görünüyor. Uygulamada, yazım sisteminiz hataların oluşmasını önlemeye çalışır, yani yazılabilir programlar ilgilenilen hata sınıfını göstermemelidir. Olduğunu göstermek amacıyla T Eğer düşünmek gerektiğini yapar, iki şey yapmak zorunda.$T$$T$

• İlk olarak, bir programın hemen yazma hatası almasının ne anlama geldiğini resmi olarak tanımlarsınız . Bunun tanımlanabileceği birçok yol vardır - bu size bağlıdır. Genellikle biz gibi programları önlemek istiyoruz 2 + "hello". Başka bir deyişle, tam olarak anında yazma hatası olan programları içeren programların bir alt kümesini tanımlamanız, onları Kötü olarak adlandırmanız gerekir .

• Sonra Tiplendirilemeyen olan programları programlara evrimleşmezler kanıtlamak zorundadır Bad . Bunu resmileştirelim. Yazma kararınız Hatırlayın olarak okumak gerektiğini: Program M tipi vardır a ortamı tarafından verilen yazıldığında serbest değişkenleri varsayarak, y . O zaman kanıtlamak istediğiniz teorem:$\Gamma \vdash M : \alpha.$$M$$\alpha$$\Gamma$

  Teorem. Her ne zaman ve M → ⋯ → N ardından N ∉ Kötü .$\Gamma \vdash M : \alpha$$M \rightarrow \cdots \rightarrow N$$N \notin$

  Bu teoremi nasıl kanıtlayacağınız, dilin ayrıntılarına, yazım sistemine ve Kötü seçiminize bağlıdır .

Kötü tanımlamanın standart yollarından biri şudur: terimi , bir değer değilse ya da bir azaltma adımı M → N ise derhal bir tür hatası içerir . (Bu durumda M genellikle sıkışmış olarak adlandırılır .) Bu yalnızca küçük adımlı işletim anlambilimi için geçerlidir. Teoremi kanıtlamanın standart bir yolu,$M$$M \rightarrow N$$M$

• ve M → N birlikte Γ ⊢ N : α anlamına gelir . Buna "özne azaltma" denir. Genellikle, yazım kararının türetilmesi ve indirimlerin uzunluğu üzerinde eşzamanlı indüksiyon ile kanıtlanmıştır.$\Gamma \vdash M : \alpha$$M \rightarrow N$$\Gamma \vdash N : \alpha$

• Her ne zaman sonra M değil Bad . Bu genellikle yazma kararının türetilmesi ile ilgili olarak kanıtlanmıştır.$\Gamma \vdash M : \alpha$$M$

Tüm yazım sistemlerinin, örneğin oturum türleri gibi "nesne azaltma" özelliğine sahip olmadığını unutmayın. Bu durumda, daha karmaşık kanıtlama teknikleri gereklidir.

Bu iyi bir soru! Yazılı bir dilde yazılanlardan ne beklediğimizi sorar.

İlk olarak unitype ile herhangi bir programlama dilini yazabileceğimizi unutmayın : sadece bir harf seçin, söyleyin Uve her programın türü olduğunu söyleyin U. Bu çok kullanışlı değil, ama bir noktaya değiniyor.

Türleri anlamanın birçok yolu vardır, ancak bir programcının bakış açısından aşağıdakilerin yararlı olduğunu düşünüyorum. Bir türü spesifikasyon veya garanti olarak düşünün . Söylemek için tipi vardır A o "biz garanti / / talebini bekliyoruz demek ki e göre kodlanmış özelliğini tatmin A ". Genellikle A gibi basit bir şeydir , bu durumda özellik sadece "bir tamsayı" dır.$e$$A$$e$$A$$A$int

Türlerinizin ne kadar etkileyici olabileceğinin sonu yoktur. Prensipte, her türlü mantıksal ifade olabilirler, kategori teorisini ve neyi kullanamazlar, vb. Şu anda, eşzamanlı programların paylaşılan durumla nasıl çalıştığı hakkında konuşmanıza izin veren "eşzamanlı ayırma mantığı" üzerine bir konuşma dinliyorum. Süslü şeyler.

Programlama dili tasarımında türlerin sanatı, ifade ve basitliği dengelemekten biridir :

• daha etkileyici türler neler olduğunu daha ayrıntılı olarak (kendimize ve derleyiciye) açıklamamıza izin verir
• daha basit tiplerin anlaşılması daha kolaydır ve derleyicide daha kolay otomatikleştirilebilir. (İnsanlar, tip kontrolü yapmak için esasen bir kanıt asistanı ve kullanıcının girişini gerektiren türlerle gelir.)

Her programcı programlama dilleri teorisinde doktora sahibi olmadığından, sadelik göz ardı edilmemelidir.

Şimdi sorunuza geri dönelim: Yazı sisteminizin iyi olduğunu nasıl anlarsınız ? Peki, türlerinizin dengeli olduğunu gösteren teoremleri kanıtlayın. İki tür teorem olacaktır:

1. Türlerinizin faydalı olduğunu söyleyen teoremler . Bir programın bir türü olduğunu bilmek, örneğin programın takılmayacağına dair bazı garantiler anlamına gelmelidir (bu bir Güvenlik teoremi olacaktır ). Başka bir teorem ailesi türleri semantik modellere bağlayacaktır, böylece programlarımız hakkında bir şeyler kanıtlamak için gerçek matematiği kullanmaya başlayabiliriz (bunlar Yeterlilik teoremleri ve diğerleri). Yukarıdaki bütünlük kötüdür, çünkü böyle yararlı teoremleri yoktur.

2. Türlerinizin basit olduğunu söyleyen teoremler . Temel olan, verilen bir ifadenin belirli bir türe sahip olup olmadığının kararlaştırılabilir olmasıdır. Başka bir basitlik özelliği, bir türü çıkarmak için bir algoritma vermektir. Basitlikle ilgili diğer teoremler şunlardır: bir ifadenin en fazla bir türü olması veya bir ifadenin temel türü olması (yani, sahip olduğu tüm türler arasında "en iyi" olanı).

Daha spesifik olmak zordur çünkü türler çok genel bir mekanizmadır. Ama umarım neyi vurmanız gerektiğini görürsünüz. Programlama dili tasarımının çoğu yönü gibi, mutlak bir başarı ölçüsü yoktur. Bunun yerine, tasarım olasılıklarının bir alanı vardır ve önemli olan, uzayda nerede olduğunuzu veya olmak istediğinizi anlamaktır.

"Daktilo makinemin çalıştığını kanıtla" ile ifade edebileceğiniz birkaç farklı şey vardır. Sanırım, sorunuzun sorduğu şeyin bir parçası;)

Bu sorunun yarısı, tür kuramınızın dil ile ilgili özellikleri ne kadar ispatlayabilecek kadar iyi olduğunu kanıtlıyor. Andrej'in yanıtı imo ile çok iyi bir şekilde mücadele ediyor. Sorunun diğer yarısı - dilin ve onun türünün sisteminin zaten sabit olduğunu varsaymaktır - belirli tür denetleyicinizin aslında tür sistemini doğru bir şekilde uyguladığını nasıl kanıtlayabilirsiniz? Burada almayı görebildiğim iki ana bakış açısı var.

Birincisi: Belirli bir uygulamanın spesifikasyonuna uygun olduğuna nasıl güvenebiliriz? İstediğiniz güvence derecesine bağlı olarak, büyük bir test paketinden memnun olabilirsiniz veya bir tür resmi doğrulama veya daha büyük olasılıkla her ikisinin bir karışımını isteyebilirsiniz . Bu perspektifin üst tarafı, iddia ettiğiniz iddialar için sınırlar koymanın önemini gerçekten vurgulamasıdır: "doğru" tam olarak ne anlama geliyor? kodun hangi kısmı kontrol edilir, vs TCB varsayılan olarak hangi kısımdır? Dezavantajı, bu konuda çok fazla düşünmenin , bu tavşan deliklerinden hoşlanmıyorsanız, felsefi tavşan deliklerine - iyi, "olumsuz" yol açmasıdır .

İkinci perspektif, doğruluk konusunda daha matematiksel bir yaklaşımdır. Matematikteki dillerle uğraşırken, sık sık "teorilerimiz" için "modeller" kurarız (ya da tam tersi) ve daha sonra kanıtlamaya çalışırız: (a) modelde yapabileceğimiz teoride yapabileceğimiz her şey ve (b) teoride yapabileceğimiz modelde yapabileceğimiz her şey. (Bunlar Sağlamlık ve Tamlıkteoremler. Hangisinin sözdizimsel kuramdan mı, semantik modelden mi “başladığınıza” bağlıdır.) Bu zihniyetle, tür kontrol uygulamanızı söz konusu tür teorisi için belirli bir model olarak düşünebiliriz. Dolayısıyla, uygulamanızın yapabilecekleri ile teorinin yapabilmeniz gerektiğini söyledikleri arasındaki bu iki yönlü yazışmayı kanıtlamak istersiniz. Bu perspektifin üst tarafı, gerçekten tüm köşe vakalarını kapsamış olup olmadığınıza, uygulamanızın tam olarak güvenli olması için kabul etmesi gereken programları bırakmamaya ve uygulamanızın sağlam olup olmadığına odaklanmasıdır. herhangi bir programa izin vermeme duygusu kötü yazılmış olarak reddedilmelidir. Dezavantajı, yazışma kanıtınızın muhtemelen uygulamanın kendisinden oldukça ayrı olması,