Hoareロジック-ループの正確性

次の形式のwhileループについて考えてみます。

$\texttt{while (C) {S}}$

条件とループの本体。 $\texttt{C}$ $\texttt{S}$

ましょうと、それぞれ不変とこのループの変異体です。whileループの完全な正確さに関する規則は、私の教科書で次のように示されています。 $\texttt{I}$ $\texttt{V}$

もし $\texttt{I} \Rightarrow \texttt{V} \geq 0$

そして、 $[\texttt{I} \land \texttt{C} \land \texttt{V} = v_0] \,\texttt{S} \, [\texttt{I} \land \texttt{V} < v_0]$

次に $[\texttt{I}] \, \texttt{while (C) {S}} \, [\texttt{I} \land \neg \texttt{C}]$

私が理解していると思うことから、ループが終了するためには、バリアントが厳密に減少しなければならず、それもゼロによって制限されている必要があります。しかし、それを数学的に翻訳すると、教科書とは異なる命題が得られます。 $\texttt{V}$

[V \geq 0 \land V = v_{0}] S [V \geq 0 \land V < v_{0}]

$[\texttt{V} \geq 0 \land \texttt{V} = v_0] \, \texttt{S} \, [\texttt{V} \geq 0 \land \texttt{V} < v_0]$

私の質問：この最後の命題と私の教科書のルールは、ループが終了するために証明する必要があることについて同じことを言っていますか？言い換えれば、

$[\texttt{I} \land \texttt{C} \land \texttt{V} \geq 0 \land \texttt{V} = v_0] \, \texttt{S} \, [\texttt{I} \land \texttt{V} \geq 0 \land \texttt{V} < v_0]$

と同じ

$\texttt{I} \Rightarrow \texttt{V} \geq 0$ と $[\texttt{I} \land \texttt{C} \land \texttt{V} = v_0] \,\texttt{S} \, [\texttt{I} \land \texttt{V} < v_0]$

なぜか、なぜそうでないのか？

hoare-logic

— ドリー
ソース

「𝚅は厳密に減少しなければならず、またゼロによって制限されなければならない」という主張は十分に誤解を招きます。また、𝚅は根拠のある範囲の関数であることも必要です。代わりに負でない有理数を使用することを想像して、反例を構成してください。

— カイ

教科書ルールを適用できるたびに独自のルールを適用できるという意味で、これらは同等です。2つのルールの不変条件は似ていますが、同じではありません。

教科書のルールインスタンスをルールのインスタンスに変換する

アプリケーションまたはテキストルールがあるとします。つまり、次のようなが見つかりました。 $\texttt{I}$

$\texttt{I} \Rightarrow \texttt{V} \geq 0$ と $[\texttt{I} \land \texttt{C} \land \texttt{V} = v_0] \,\texttt{S} \, [\texttt{I} \land \texttt{V} < v_0]$

次に、上記の含意のおかげで、ます。ルールPrePostを使用して、不変条件を同等のものに書き換えることができ、ルールの適用を取得します。 $\texttt{I} \iff \texttt{I} \land \texttt{V} \geq 0$

$[\texttt{I} \land \texttt{C} \land \texttt{V} \geq 0 \land \texttt{V} = v_0] \, \texttt{S} \, [\texttt{I} \land \texttt{V} \geq 0 \land \texttt{V} < v_0]$

ここでは、教科書のルールと同じ不変条件を使用します。

ルールのインスタンスをテキストブックルールインスタンスに変換する

さて、逆の方向に。ルールのを見つけたとしましょう： $\texttt{I}$

$[\texttt{I} \land \texttt{C} \land \texttt{V} \geq 0 \land \texttt{V} = v_0] \, \texttt{S} \, [\texttt{I} \land \texttt{V} \geq 0 \land \texttt{V} < v_0]$

ここで、仮定できないため、をテキストルール使用できません。ただし、新しい不変式として使用できます。を構成（*）によって簡単に作成し。さらに、仮説から $\texttt{I} \Rightarrow \texttt{V} \geq 0$ $\texttt{I}$ $\texttt{I}' := \texttt{I} \land \texttt{V} \geq 0$ $\texttt{I}' \Rightarrow \texttt{V} \geq 0$

$[\texttt{I} \land \texttt{C} \land \texttt{V} \geq 0 \land \texttt{V} = v_0] \, \texttt{S} \, [\texttt{I} \land \texttt{V} \geq 0 \land \texttt{V} < v_0]$

（PrePostによって）取得できます

$[\texttt{I}' \land \texttt{C} \land \texttt{V} = v_0] \, \texttt{S} \, [\texttt{I}' \land \texttt{V} < v_0]$ （**）

プロパティ（*）と（**）は、テキストルールを適用するために必要なものです。

— カイ
ソース