gpt4 book ai didi

java - Java中 'KeY'的形式化验证未能证明数组重置循环

转载 作者:太空宇宙 更新时间:2023-11-04 09:49:32 28 4
gpt4 key购买 nike

目前我正在尝试掌握一点 formal verification KeY Java 程序的工具。

这是我的带键注释的 Java 代码:

public class Test {
public int[] a;

/*@ public normal_behavior
@ ensures (\forall int x; 0<=x && x<a.length; a[x]==1);
@*/
public void fillArray() {
int i = 0;
while(i < a.length) {
a[i] = 1;
i++;
}
}
}

令我惊讶的是KeY,它无法证明当前程序根据其规范是有效的。 KeY 在目标 54 处失败。当前目标窗口显示:

 self.a.<created> = TRUE,
wellFormed(heap),
self.<created> = TRUE,
Test::exactInstance(self) = TRUE,
measuredByEmpty
==>
self.a = null,
self = null,
{exc:=null || i:=0}
\<{
try {
method-frame(source=fillArray()@Test, this=self)
: {
while (i<this.a.length) {
this.a[i] = 1;
i++;
}
}
}
catch (java.lang.Throwable e) {
exc = e;
}
}\> (\forall int x; (x <= -1 | x >= self.a.length | self.a[x] = 1) & self.<inv> & exc = null)

我不太明白:规范证明失败的主要原因是什么?

最佳答案

失败的最基本原因是,如果证明者在方法中发现无界循环 - 那么如果没有loop invariant,它就无法遵循方法规范。规范。

因此,对于每个无界循环,我们必须指定一个循环不变量。循环不变量是对于每个循环迭代都成立的规则。每个循环都可以有自己特定的不变规则。因此,具有规范的 Java 代码必须固定为:

public class Test{

public int[] a;

/*@ public normal_behavior
@ ensures (\forall int x; 0<=x && x<a.length; a[x]==1); // method post-condition
@ diverges true; // not necessary terminates
@*/
public void fillArray() {
int i = 0;

/*@ loop_invariant
@ 0 <= i && i <= a.length && // i ∈ [0, a.length]
@ (\forall int x; 0<=x && x<i; a[x]==1); // x ∈ [0, i) | a[x] = 1
@ assignable a[*]; // Valid array location
@*/
while(i < a.length) {
a[i] = 1;
i++;
}
}

}

考虑如何指定方法时最困难的部分是找出循环不变式。但与此同时 - 这是最有趣的。出于原因,我将重复此循环的不变量:

i  ∈ [0, a.length]
x ∈ [0, i) | a[x] = 1

并且这个条件在ANY迭代的循环中永远不会改变。这就是为什么它是一个不变

顺便说一句,如果正式规范做得正确 - 我们可以扔掉 TDD以及单元测试。如果程序可以根据其规范在数学上证明是正确的,谁会关心运行时结果?

如果规范良好并且代码语义经过验证,那么在程序执行中就不会出现任何问题,这是肯定的。正因为如此 - 形式验证是一个非常有前途的领域。

关于java - Java中 'KeY'的形式化验证未能证明数组重置循环,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54959098/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com