Sistemas de alta integridad - Hall Logic

• Para probar que este procedimiento debe llevarse a cabo de arriba hacia abajo, primero pruebe por separado f:=1, i:=1y luego pruebe whilelos contenidos por separado, y while
  los contenidos deben probarse por separado uno por uno.

salón triplete

• Representa: cuando se satisface P, después de ejecutar S, se cumplirá Q (se mantiene)

Caso 1

• si x=2satisfecho
• Entonces, después de la expresión x:=x+1, ¿qué fórmula seráhold？
  
• Aquí x=3se dice que es "dado x=2como " preconditioncondicional astrongest postcondition

Caso 2

• De la misma manera: cuando x=1como postcondition holds, preconditionpodemos deducir fácilmente quex=0
  

• pero aquí está preconditionel serweakest precondition

• Esto se debe a que nuestro razonamiento inverso (hacia atrás) es menos difícil que el razonamiento hacia adelante (hacia adelante)

• Otra forma de entender es:
  $X>5=>X>3$ Entonces decimos$X>5$ es una condición más estricta, es decir, unastrongcondición más estricta. Del mismo modo veamos estopost condition

• Si nos las preconditionarreglamos , x=3podemos x=3derivar otras más relajadas basadas en esta condición postcondition, como $X>2$ , nuestra fórmula se puede escribir de la siguiente manera:
  $$\{x=2\}x:=X+1\{x>2\}$$

• Esto está perfectamente bien mientras $X>La\; condición\; de\; 2$ no es tan buena como$X=3$ strong 's

• Por la misma razón, vemos por qué weakest precondition: porque cuando usamos una preconditioncondición que es un poco más estricta que la actual, la fórmula de derivación también es válida:
  $$X+1=3=>X=2$$

• Entonces pensamos que $X+1=3$ Esta condición es mejor que$X=2$ es estricto, así que lo llevamos a la fórmula original:
  $$\{x+1=3\}x:=X+1\{x=3\}$$

• Por supuesto, esta fórmula también se cumple

lógica

reglas de derivación

• Si $A$ holds (por verdadero), mientras que$A=>B$ también es cierto, entonces podemos deducir$B$ también es cierto
• "——" significa relación de derivación

• Esta fórmula muestra trueque la naturalezaholds
• También se puede expresar 我们假设这种情况是 trueque dado que no hay condiciones previas, se puede considerar comoassumption
  
• Si $A$ aguanta, mientras que$B$ se mantiene, luegoA ^ Btambién se mantiene

adelante contra atrás

adelante

• Para los dos primeros forward, el razonamiento no es difícil.
  

• Pero por lo siguiente
  

hacia atrás

• Podemos postdeducir fácilmente preel resultado de del resultado de
  

• Especialmente para la segunda fórmula, solo necesitamos calcularla de acuerdo con el resultado x=1y las condiciones , solo necesitamos invertir el proceso para salirx:=x+1x=0x:=x+1pre

• mismo:
  

• Para esta expresión, también podemos escribir fácilmente
  

• forwardVeamos el problema difícil en el razonamiento.
  

• Aquí solo necesitamos
  

• Con el fenómeno anterior, podemos obtenerrule of assignment

regla de asignación

• $P$ es sobre$La\; fórmula\; de\; x$ , después dex:=Eeste proceso,$P$ tiene,

• Entonces podemos reemplazar post conditiontodo xconE
  

• En esta fórmula $mi=X+1$ entonces ponx = 1post conditionen$X=$Todo xxen$1$reemplazar$x$$E$ comoprecondition1$X+1=1$

• Entonces el resultado es:
  $$\{x+1=1\}x:=X+1\{x=1\}$$
  $$\{x=0\}x:=X+1\{x=1\}$$

• Practica uno más:
  
  

reglas de consecuencia

• De lo comentado anteriormente forwardy backwardpodemos deducir mediante esta fórmula:
  

• Si cumplimos las siguientes condiciones, también podemos obtener
  
  

• porque $X=0$ condicional que$X>=0$ es estricto, por lo que también espreconditionfactible como

• de este modo

• Analizarlo: ${PAG}^{\text{'}}$ es$Un\; subconjunto\; de\; P$ , el mismo$Q$ es$q^{\text{'}}$ , entonces$El\; rango\; de\; P$ debe reducirse, mientras que$El\; rango\; de\; Q$ debe ampliarse.

Combinando las dos reglas anteriores

• Supongamos que queremos probar que:
  

• En primer lugar, primero usamos esta fórmula como consequence rulela parte inferior de , luego eso es ${PAG}^{\prime }=\{x=0\}$ ,$q^{\prime }=\{x>0\}$
  

• No cambiamos de ahora en adelante post condition, cuando queremos usar consequence rulenecesitamos encontrar ${PAG}^{\prime }=>P$ , y ahora tenemos${PAG}^{\prime }=\{x=0\}$

• Entonces la fórmula se convierte en la siguiente:
  

• Supongamos que hay una variable intermedia $P$ se deriva de

• A continuación, use la pieza en el cuadro rojo en la figura a continuación.assignement axiom
  

• $\{?P\}x:=X+1\{x>0\}$ Se puede deducir que$PAG=X+1>0$

• Luego cambie esta banda a $X=0=>?P$ parte, puedes obtener:
  
  

• probar completo

• Para resumir la lógica de prueba anterior
  

regla de secuencia

• A la hora de demostrar este tipo de temas, solemos partir de la última parte y demostrarlo al revés.
  
  • La prueba comienza:
    
• Primer uso rule of consequenceS $S1;\_S2$ se considera como un todo, en este momento${PAG}^{\prime }=\{x=0\},q^{\prime }=\{X=2\}$ Así que en este momento todavía tenemos que ver${PAG}^{\prime }=>P$ por lo que todavía suponemos que hay una variable intermedia$?PAG$
  
• Ahora no es posible hacer la parte de la selección de marcos en la figura a continuación assign rule, porque assignment rulesolo se puede singlerealizar en los pasos, por lo que ahora tenemos que realizar el proceso en la parte de la selección de marcos en la figura a continuación.rule of sequencing

• y obten:
  
• Introducimos una variable intermedia $?R$ , mientras se divide el razonamiento intermedio en dosindividualpartes
• En este momento, preste atención a la parte encuadrada en la siguiente figura:
  
• Hay dos partes desconocidas aquí $?pag\_?R$ Por lo tanto, tenemos que buscar otros avances, que en realidad es muy obvio De la última fórmula,$?R$ comenzó a usarassignment rule
  
• Cuando sale esta demostración, es lógico que la esquina superior izquierda contenga $?$ La fórmula de$P$assignment rule se puede
  
• Ahora solo queda la parte más a la izquierda:
  
• De hecho, él es constante establecido:
  

Caja de programa más grande

• El siguiente programa significa un swapprograma
  
  
  
• De hecho, esta prueba es equivalente a sagregar un término intermedio entre cada dos, y luego debe pasar uno por uno assignment rulepara probar

saltar regla

regla condicional

el caso

• o usar primeroconsequence rule
• De esta forma, equivaldríamos a sumar un ?P ?Pprecondition entre y operaciones posteriores$?PAG$
• 
• Luego basamosconditional rule