Hoare-Kalkül

Der Hoare-Kalkül (auch Hoare-Logik) ist ein formales System, um die Korrektheit von Programmen nachzuweisen. Er wurde von dem britischen Informatiker C. A. R. Hoare entwickelt und später von ihm und anderen Wissenschaftlern verfeinert. Der Hoare-Kalkül wurde 1969 in einem Artikel mit dem Titel An axiomatic basis for computer programming veröffentlicht[1].

Der Zweck des Systems ist es, eine Menge von logischen Regeln zu liefern, die es erlauben, Aussagen über die Korrektheit von imperativen Computer-Programmen zu treffen und sich dabei der mathematischen Logik zu bedienen. Hoare knüpft an frühere Beiträge von Robert Floyd an, der ein ähnliches System für Flussdiagramme veröffentlichte[2]. Im Gegensatz zum floydschen Verfahren, bei dem Ausführungspfade interpretiert werden, arbeitet der Hoare-Kalkül mit dem Quellcode[3].

Alternativ kann auch der wp-Kalkül benutzt werden, bei dem im Gegensatz zum Hoare-Kalkül eine Rückwärtsanalyse stattfindet.

Hoare-Tripel

Das zentrale Element des Hoare-Kalküls ist das Hoare-Tripel, das beschreibt, wie ein Programmteil den Zustand einer Berechnung verändert:

\{P\}\;S\;\{Q\}.

Dabei sind $P$ und $Q$ Zusicherungen (englisch assertions), $S$ ist ein Programmsegment. $P$ ist die Vorbedingung (englisch precondition) und $Q$ die Nachbedingung (englisch postcondition). Wenn die Vorbedingung zutrifft, gilt nach der Ausführung des Programmsegments die Nachbedingung. Zusicherungen sind Formeln der Prädikatenlogik[1].

Ein Tripel kann auf folgende Weise verstanden werden: Falls $P$ für den Programmzustand vor der Ausführung von $S$ gilt, dann gilt $Q$ danach. Falls $S$ nicht terminiert, dann gibt es kein danach, also kann in diesem Fall $Q$ jede beliebige Aussage sein. Tatsächlich kann man für $Q$ die Aussage falsch wählen, um auszudrücken, dass $S$ nicht terminiert. Man spricht hier von partieller Korrektheit. Falls $S$ immer terminiert und danach $Q$ wahr ist, spricht man von totaler Korrektheit. Die Terminierung muss unabhängig bewiesen werden.

Falls keine Vorbedingung existiert, schreibt man[3]:

\{true\}\;S\;\{Q\}.

Partielle Korrektheit

Der Hoare-Kalkül besteht aus Axiomen und Ableitungsregeln für alle Konstrukte einer einfachen imperativen Programmiersprache:

Axiom der leeren Anweisung

Wenn ein Programmsegment $S$ keine Variablen verändert, so ändern sich auch die Zusicherungen nicht, es gilt also Nachbedingung gleich Vorbedingung:

{\frac {}{\{P\}S\{P\}}}

Zuweisungsaxiom

Das Zuweisungsaxiom besagt, dass nach einer Zuweisung jede Aussage für die Variable gilt, welche vorher für die rechte Seite der Zuweisung galt:

{\frac {}{\{P[E/x]\}\ x:=E\ \{P\}}}.

$P[E/x]$ ist die Aussage, die dadurch entsteht, dass man in $P$ jedes freie Vorkommen von $x$ durch $E$ ersetzt.

Genau genommen ist das Zuweisungsaxiom kein einzelnes Axiom, sondern ein Schema für eine unendliche Menge von Axiomen, denn $x$ , $E$ und $P$ können jede mögliche Form annehmen, und $P[E/x]$ kann daraus konstruiert werden.

Ein Beispiel für ein durch das Zuweisungsaxiom beschriebenes Tripel ist:

\{x+1=43\}\ y:=x+1\ \{y=43\}.

Kompositions- oder Sequenzregel

Um sequentielle Programme zu analysieren, können die einzelnen Tripel nach folgender Regel verknüpft werden:

{\frac {\{P\}\ S\ \{R\}\ ,\ \{R\}\ T\ \{Q\}}{\{P\}\ S;T\ \{Q\}}}

Diese Regel kann auf folgende Weise angewendet werden: Wenn die über dem Strich stehenden Aussagen bewiesen worden sind, kann die unter dem Strich stehende Aussage auch als bewiesen angesehen werden.

Betrachtet man zum Beispiel die folgenden beiden Aussagen, die aus dem Zuweisungsaxiom folgen

\{x+1=43\}\ y:=x+1\ \{y=43\}

und

\{y=43\}\ z:=y\ \{z=43\}

kann man die folgende Aussage daraus folgern:

\{x+1=43\}\ y:=x+1;z:=y\ \{z=43\}.

Auswahlregel (if-then-else-Regel)

Es gilt folgende Regel für Auswahlkonstrukte mit 2 Auswahlmöglichkeiten[3]:

{\frac {\{P\wedge B\}\ S\ \{Q\}\ ,\ \{P\wedge \neg B\}\ T\ \{Q\}}{\{P\}\ \mathrm {if} \ B\ \mathrm {then} \ S\ \mathrm {else} \ T\ \{Q\}}}

Die Regel beweist also sowohl den if-Zweig, als auch den else-Zweig. Hat eine if-Abfrage keinen else-Zweig, so verwendet man eine leicht modifizierte Version dieser Regel:

{\frac {\{P\wedge B\}\ S\ \{Q\}\ ,\ P\wedge \neg B\Rightarrow Q}{\{P\}\ \mathrm {if} \ B\ \mathrm {then} \ S\ \{Q\}}}

Iterationsregel (while-Regel)

{\frac {\{I\wedge B\}\ S\ \{I\}}{\{I\}\ \mathrm {while} \ B\ \mathrm {do} \ S\ \mathrm {done} \ \{I\wedge \neg B\}}}

Hierbei wird $I$ als die Schleifeninvariante bezeichnet, die sowohl vor, während als auch nach Ausführung der Schleife gültig ist. Eine Invariante muss manuell ermittelt werden.

Konsequenzregel (Rule of Consequence)

{\frac {P\Rightarrow \ P^{\prime },\ \lbrace P^{\prime }\rbrace \ S\ \lbrace Q^{\prime }\rbrace \ ,\ Q^{\prime }\Rightarrow \ Q}{\lbrace P\rbrace \ S\ \lbrace Q\rbrace }}

Die Konsequenzregel erlaubt es, die Vorbedingung zu verstärken und die Nachbedingung abzuschwächen und so die Anwendung anderer Beweisregeln zu ermöglichen. Insbesondere kann man auch die Vor- oder Nachbedingung durch eine äquivalente logische Formel ersetzen. Beispiel:

\lbrace true\rbrace \ x:=0\ \lbrace x\geq 0\rbrace \

ist partiell korrekt, denn

{\frac {true\Rightarrow 0=0,\lbrace 0=0\rbrace \ x:=0\ \lbrace x=0\rbrace ,\ x=0\Rightarrow x\geq 0}{\lbrace true\rbrace \ x:=0\ \lbrace x\geq 0\rbrace }}.

Totale Korrektheit

Wie oben erläutert eignet sich der beschriebene Kalkül nur für den Beweis der partiellen Korrektheit. Zum Beweis der totalen Korrektheit muss die while-Regel durch eine Schleifenvariante erweitert werden. Dabei handelt es sich um eine Funktion oder eine Variable $t$ , die eine Zahl mit einem Anfangswert $z$ darstellt. Es muss nun nachgewiesen werden, dass $t$ in jedem Schleifendurchlauf verringert wird, und dass die Schleife ab einem bestimmten, verringerten Wert terminiert[2].

Iterationsregel für totale Korrektheit

{\frac {\{I\wedge B~\wedge ~t=z\}\ S\ \{I~\wedge ~t<z\},~I\Rightarrow t\geq 0}{\{I\}\ \mathrm {while} \ B\ \mathrm {do} \ S\ \mathrm {done} \ \{I\wedge \neg B\}}}

Hierbei ist $t$ ein Term, $I$ die Schleifeninvariante – also das, was in jedem Schleifendurchlauf gilt – und $z$ eine Variable, die in $B$ , $t$ , $S$ und $I$ nicht frei vorkommt. Sie dient dazu, den Wert des Terms vor der Schleife mit dem nach der Schleife zu vergleichen. Die Bedingung $I\Rightarrow t\geq 0$ stellt sicher, dass $t$ nicht negativ wird. Die Idee hinter der Regel ist, dass, wenn $t$ mit jedem Schleifendurchlauf abnimmt, aber nie kleiner als Null wird, die Schleife irgendwann enden muss. $t$ muss dabei aus einer fundierten Menge sein.

Bewertung

Mit dem Hoare-Kalkül und einer formalen Spezifikation ist es möglich, ein Programm oder Teile eines Programms auf Korrektheit zu prüfen. Er liefert damit eines der wenigen Verfahren, die tatsächlich Korrektheit nachweisen und nicht nur Anwesenheit von Fehlern feststellen können. Allerdings müssen die Ergebnisse einer Analyse mit dem Hoare-Kalkül mit Vorsicht genossen werden:

Ist die Spezifikation fehlerhaft, können zwar die Ergebnisse der Analyse korrekt sein, allerdings gegenüber einer falschen Spezifikation.
Mit dem Hoare-Kalkül werden keine Fehler gefunden, die durch Fehler in der Spezifikation der Programmiersprache selbst oder durch einen fehlerhaften Compiler entstehen.[3]
Der Hoare-Kalkül stößt bei großen Softwaresystemen, speziell mit globalen Variablen und Rekursion schnell an seine Grenzen.[4]
Zur Verifikation müssen Axiome der Computerarithmetik benutzt werden, die Besonderheiten, wie die Beschränktheit der mit Integer-Typen repräsentierbaren ganzen Zahlen und die Ungenauigkeit von Gleitkommazahlen, berücksichtigen.[3]

Literatur

Hoare: An axiomatic basis for computer programming, Communications of the ACM, Band 12, 1969, S. 576–580
Robert D. Tennent: Specifying Software. A Hands-on Introduction. Cambridge University Press, Cambridge u. a. 2002, ISBN 0-521-00401-2 (ein aktuelles Lehrbuch mit einer Einführung in die Hoare-Logik), Beschreibung und „Errors and Corrections“.

Weblinks

Das Project Bali hat Regeln nach Art des Hoare-Kalküls für ein Subset von Java aufgestellt, zur Benutzung mit dem Theorembeweiser Isabelle
Hoare Tutorial (Memento vom 31. Januar 2012 im Internet Archive) Ein Tutorial, das den Umgang mit dem Hoare-Kalkül zur Programmverifikation erklärt (PDF; 493 kB)
j-Algo-Modul Hoare Kalkül Ein Visualisierung des Hoare-Kalküls im Rahmen des Algorithmenvisualisierungsprogramms j-Algo
KeY-Hoare ist ein halbautomatisches Verifikationssystem, das auf dem KeY-Theorem-Prover aufbaut. Es führt den Hoare-Kalkül für einfache Schleifen durch.

Einzelnachweise

Charles Antony Richard Hoare: An Axiomatic Basis for Computer Programming (Memento des Originals vom 4. März 2016 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2 (PDF; 659 kB). In: Communications of the ACM. Bd. 12, Nr. 10, 1969, S. 576–585, doi:10.1145/363235.363259.
Robert W. Floyd: Assigning meanings to programs. In: Proceedings of the American Mathematical Society Symposia on Applied Mathematics. Nr. 19, 1967, S. 19–31 (virginia.edu [PDF; 684 kB]).
Peter Liggesmeyer: Software-Qualität. 2. Auflage. Spektrum Akademischer Verlag, Heidelberg 2009, ISBN 978-3-8274-2056-5, S. 321–360.
Edmund M. Clarke: Programming Language Constructs for Which it is Impossible to Obtain Good Hoare-like Axiom Systems. In: Journal of the Association for Computing Machinery. Band 26, Nr. 1, 1979, S. 129–147, doi:10.1145/512950.512952.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[Primärquelle-1] Charles Antony Richard Hoare: An Axiomatic Basis for Computer Programming (Memento des Originals vom 4. März 2016 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2 (PDF; 659 kB). In: Communications of the ACM. Bd. 12, Nr. 10, 1969, S. 576–585, doi:10.1145/363235.363259.

[Floyd-2] Robert W. Floyd: Assigning meanings to programs. In: Proceedings of the American Mathematical Society Symposia on Applied Mathematics. Nr. 19, 1967, S. 19–31 (virginia.edu [PDF; 684 kB]).

[Software-Qualität-3] Peter Liggesmeyer: Software-Qualität. 2. Auflage. Spektrum Akademischer Verlag, Heidelberg 2009, ISBN 978-3-8274-2056-5, S. 321–360.

[4] Edmund M. Clarke: Programming Language Constructs for Which it is Impossible to Obtain Good Hoare-like Axiom Systems. In: Journal of the Association for Computing Machinery. Band 26, Nr. 1, 1979, S. 129–147, doi:10.1145/512950.512952.