当前位置:文档之家 › 程序正确性证明

程序正确性证明

  • 格式:ppt
  • 大小:433.00 KB
  • 文档页数:54

下载文档原格式

  / 54

合集下载

软件工程讲义第六章

软件工程讲义第六章
hour:=hour+1;
ENDWHILE; 2.1、2.2、2.4已能用程序语言表达,只需对2.3进一步精细化。 为了处理60个数据,又需一循环结构。
引入分钟值变量:minutes,每分钟要做的工作是: 累计:求每小时的平均值 检查违章情况 为了累计,引入变量sum: 在每小时处理前设初值为0。 每小时处理后求平均值。
3、自顶向下的程序验证。
2019年11月26日星期二
西南交通大学信息科学与技术学院
结构化程序设计的核心内容
二、使用三种基本控制结构来构造程序 1、任何程序都由顺序、选择和重复三种基本控制结构构造。 顺序实现了任何算法规约中的核心处理步骤; 条件允许根据逻辑情况选择处理方式; 重复提供了循环。 这些逻辑元素是结构化程序设计的基础。
BEGIN
1. 设置初值;
2. 处理24小时数据;
END
求精步骤1:设置初值。开始时一般不明确为哪些变量赋初值。
求精步骤2:计算结果是以小时为统计单位输出,它是重复执行24次的
循环结构。
局部数据结构设计:数据输入的方案选择:
1、处理前读入所有24小时数据,共1440个,需要大一个大的数组。
2、每次计算输入一个数据,这要保证对先前输入的数据不再使用。
ENDWHILE;
Mean:=sum/60.0; 一次违章出现是指连续5次污染值超过10.00。如果违章分布在两个相间的时 间段上,则把这次违章算在下一小时上。 首先测试当前值是否超过10.00,若是,还将进一步检查是否连续出现5次。 为了实现第二个测试,需要两个计数器: Voilation:计数本小时出现的违章次数。 Infraction:计数连续出现超过正常值的次数。 每次超正常值出现时,Infraction增1。为了保证Infraction表示连续出现超正 常值,必须保证在第一次出现超正常值时其初值为0。为了保证相继两个小时的 Infraction的值能连续被使用,在每小时处理前不能为Infraction置0值,只能在 第一小时处理前置0。另外,在发现一次未超正常值时,也应置它为0,即连续 出现超正常值中断。

程序正确性

程序正确性

第三章 程序的正确性证明一、 F loyd-Hoare 规则公理方法前提条件,初始状态 前置断言结论,终止状态满足的条件 后置断言 程序规范:程序的前置断言和程序的后置断言组成。

程序的状态:程序执行到某一时刻,程序中所有变量的一组取值。

初始状态:所有变量的取值使程序的前置断言为真的状态。

终止状态:所有变量的取值使程序的后置断言为真的状态。

程序的执行可以看作是程序状态的变迁。

1、完全正确性断言:程序S 的执行开始于满足P 的状态,则该执行必定能在有限的时间内终止,且终止的状态满足Q ,则称完全正确性断言,记为{P}S{Q}2、部分正确性断言:程序S 的执行开始与满足P 的状态,若此执行能在有限的时间内终止,则终止时的状态满足Q ,则称部分正确性断言,记为[P]S[Q](一)预备规则1)如果执行之前P 是真,执行之后Q 也是真,则记为Q P ⊃2) 若n 条路径在语句T 之前汇合,则所有前面语句S i 的结论Q i 都必须在逻辑上蕴含语句T 的前提P ,就是说 P Q i ⊃,其中, i=1,2,…,n.。

P Q ⊃1,P Q ⊃2,P Q ⊃33)若断言P 在条件B 的判断之前成立,则判断的两个结论分别是B P ∧ 和 B P ⌝∧程序,语句 逻辑谓词 逻辑谓词 n2 (0<X<10)P B ⌝4) 若断言P 位于赋值E 于变量I 之后,则P 中出现的所有I 替换成E ,可得到赋值的前提(称赋值等效)。

5) 凡蕴含一语句前提的断言,都是这个语句的前提。

凡一语句结论所蕴含的断言,都是这个语句的结论。

','Q Q P P ⊃⊃{P ’}S{Q ’}为真,则{P}S{Q}为真。

(二)Hoare 验证系统 1. 空语句skip {P}skip{P} 结论即为前提2. 赋值语句{IE P } I:=E {P}由规则43. 条件语句{P} if B then S 1 else S 2 {Q} 由规则3得到{B P ∧}S 1{Q}和{B P ⌝∧}S 2{Q}为表示方便,我们可用证明规则的一般形式HH H H n,...,,21来记,其中n H H H ,...,,21是规则的前提,H 是结论,它表示如果’n H H H ,...,,21为真,那么H 也为真。

正确验算的方法是指哪些

正确验算的方法是指哪些

正确验算的方法是指哪些
正确的验算方法包括以下几种:
1. 反向计算:首先通过一个已知的计算结果,逆向计算出原始的参数或数据,并比较结果是否一致。

这种方法可以用来验证各种数学运算或公式的正确性。

2. 独立计算:将同样的参数或数据使用不同的方法或工具进行独立计算,然后比较结果是否一致。

这种方法可以用来验证计算机程序的正确性。

3. 使用验证工具:使用特定的验证工具或软件来验证计算结果的正确性。

例如,使用计算机代数系统(CAS)或数值分析软件来验证数学计算的准确性。

4. 逻辑验证:使用逻辑推理或推导来验证一个论证或论断的正确性。

这种方法通常用于验证数学证明或逻辑推理的正确性。

5. 实验验证:通过实际的实验或观察来验证某个理论或假设的正确性。

这种方法通常用于科学研究或工程实践中。

无论使用哪种方法,正确的验算都应该是一种严谨而系统的过程,以确保计算结果的准确性和可靠性。

软件测试理论知识

软件测试理论知识


什么是软件测试?
软件测试就是利用测试工具按照测试方案和流程对产
品进行功能和性能测试,甚至根据需要编写不同的测 试工具,设计和维护测试系统,对测试方案可能出现 的问题进行分析和评估。执行测试用例后,需要跟踪 故障,以确保开发的产品适合需求。
为什么要进行软件测试?
是否需要进行软件测试软件测试软件测试软件测试取
软件测试工程师的能力
软件测试工程师应该具备哪些能力?
1、具有创新性和综合分析能力; 2、必须具备判断准确、追求完美、执着认真、善于合作的 品质; 3、具有丰富的编程经验与查检故障的能力。
软件测试模型分类
软件测试的常用模型
在软件测试过程中最常见的模型分为V模型、W模型、 X模型以及H模型;
V模型实际示意图
软件测试原则
一,测试应该尽早进行,最好在需求阶段就开始介入,因为最严重的


错误不外乎是系统不能满足用户的需求。 二,程序员应该避免检查自己的程序,软件测试应该由第三方来负责。 三,设计测试用例时应考虑到合法的输入和不合法的输入以及各种边 界条件,特殊情况下不要制造极端状态和意外状态。 四,对测试错误结果进行地一个确认过程。一般由A测试出来的错误, 一定要由B来确认。严重的错误可以召开评审会议进行讨论和分析, 对测试结果要进行严格的确认,是否真的存在这个问题以及严重程度 等。 五,制定严格的测试计划。一定要制定测试计划,并且要有指导性。 测试时间安排尽量宽松,不要希望在极短的时间内完成也有一个高水 平的测试。 六,妥善保存测试计划、测试用例、出错统计和最终分析报告,为维 护提供方便。
软件测试的方法(三)
冒烟测试
冒烟测试是指测试时间短,很快即能完成的测试,主要适用对象是每 一个新编译的需要正式测试的软件版本,目的是确认软件基本功能正常 可以进行后续的正式测试工作。冒烟测试的执行者是版本编译人员; 随机测试(可以同回归测试一起进行) 随机测试没有书面测试用例、记录期望结果、检查列表、脚本或指令 的测试。主要是根据测试者的经验对软件进行功能和性能抽查。随机 测试是根据测试说明书执行用例测试的重要补充手段,是保证测试覆 盖完整性的有效方式和过程。 随机测试主要是对被测软件的一些重要功能进行复测,也包括测试那 些当前的测试没有覆盖到的部分。另外,对于软件更新和新增加的功 能要重点测试。重点对一些特殊情况点、特殊的使用环境、并发性、 进行检查。尤其对以前测试发现的重大Bug,进行再次测试,可以结 合回归测试一起进行。

利用HOARE公理化方法证明程序部分正确性

利用HOARE公理化方法证明程序部分正确性

Hoare提出的公理和相应控制语句的证明规则。
5. 结论规则 P=>R,[R]S[Q] [P]S[Q] 或 [P]S[R], R=>Q [P]S[Q]
山东大学 计算机科学与技术学院 嵌入式系统学科组
8
程序正确性验证– Hoare公理学方法
证明过程 证明程序部分正确性的公理学方法就是依据以上的公理和推理规则,一般 有两种形式:正向证明和反向证明 正向“证明” : 从某些公理出发, 使用规则, 直到最后获得结果. 根据给出的不变式断言,建立一些引理; 根据引理和赋值公理,对程序中的每一个赋值语句 Fi 导出相应的不 变式语句[Ri] Fi [Qi]; 再根据这些不变式语句和上述的推理规则逐步地组成越来越长的程 序段,一直到推演出:[P(x)] F [Q(x,z)]为止.
[x>=0]
(y1,y2,y3) (0,1,1); While ( y2<=x ) do
(y1,y2,y3) (y1+1,y2+y3+2,y3+2);
Z y1; [ Q(x,z)]
[证明完毕]
山东大学 计算机科学与技术学院 嵌入式系统学科组 14
The End ! Thanks !
若有问题请发邮件,共同进步。
3)
[P(x,y1+1,y2+y3+2,y3+2)] (y1,y2,y3) (y1+1,y2+y3+2,y3+2) [P(x,y)] ..(6)
得:[ P(x,y)y2≤x] (y1,y2,y3) (y1+1,y2+y3+2,y3+2) [P(x,y)] ..(7)
山东大学 计算机科学与技术学院 嵌入式系统学科组 12

软件工程复习选择题01

软件工程复习选择题01

1.软件生存期模型是从软件项目需求定义开始到软件被废弃使用为止,跨越整个生存期的系统开发、运行和维护所实施的全部过程、活动和任务的结构框架。

到目前为止,存在的软件生存期模型有:演化模型,螺旋模型,智能模型,喷泉模型,瀑布模型等。

2.软件需求分析方法包括原型化方法和结构分析方法。

软件原型化方法是在研究分析阶段的方法和技术中产生的,但是也可用语面向软件开发的其他阶段。

由于软件项目的特点和运行原形的目的的不同,原型主要有三种不同的作用类型:探索型,实验型,进化型。

探索型的目的是要弄清目标系统的需求,确定所希望的特性,研究多种方案的可行性。

它主要针对开发目标模糊,用户和开发者对项目都缺乏经验的情况。

实验型的目的用于大规模开发和实现之前,考核方案是否合适,规格说明书是否可靠。

进化型的目的不在于改进规格说明,而是将系统建造的易于变化,在改进原型的过程中,逐步将原型变成最终系统。

它将原型方法的思想扩展到软件开发的全过程,适合于满足需求的变动。

由于运用原型的目的和方式不同,在使用原型时可采用以下两种不同的策略:(1)废弃策略:先构造一个功能简单而且质量要求不高的模型系统,针对这个模型系统反复进行分析修改,形成比较好的设计思想,据此设计出完整、准确、一致、可靠的最终系统,系统构造完成后,原来的模型被废弃不用。

它对应于探索型和实验型。

(2)追加策略:先构造一个功能简单而且质量要求不高的模型系统作为最终系统的核心,然后不断扩充修改,逐步追加新的要求,最后成为最终的系统。

它对应于进化型。

3.在软件工程的设计阶段中,有三种常用的设计方法:结构化设计方法SD、Jackson方法和Parnas方法。

SD方法侧重于用数据流图表示系统的分解,且用数据字典和说明分别表示数据和接工的含义;Jackson方法侧重于由数据结构导出模块结构;Parnas方法的主要思想将可能引起变化的因素隐藏在某有关模块内部,是这些因素变化时的影响范围受到限制。

第3章_程序的正确性证明


…实例…
(1) 分析这一段说明,列出原因和结果
原因:
1. 售货机有零钱找 2. 投入1元硬币 3. 投入5角硬币 4. 押下橙汁按钮 5. 押下啤酒按钮
建立中间结点,表示处理中间状态
11. 投入1元硬币且押下饮料按钮 12. 押下〖橙汁〗或〖啤酒〗的按钮 13. 应当找5角零钱并且售货机有零钱找 14. 钱已付清
程序测试
1983年IEEE提出的软件工程术语中给软件测试下的定 义是:“使用人工或者自动手段来运行或测定某个系 统的过程,其目的在于检验它是否满足规定的需求或 是弄清预期结果与实际结果之间的差别。”
测试是程序的执行过程,目的在于发现错误。 一个好的测试用例在于能发现至今未发现的错误; 一个成功的测试是发现了至今未发现的错误的测 试。
…实例…
结果:
21. 售货机〖零钱找完〗灯亮 22. 退还1元硬币 23. 退还5角硬币 24. 送出橙汁饮料 25. 送出啤酒饮料
(2) 画出因果图。所有原因结点列在左边,所有结果 结点列在右边。 (3) 由于 2 与 3 ,4 与 5 不能同时发生,分别加上约束 条件E。 (4) 因果图
…实例…
对一个具有多重选择和循环嵌套的程序,不同的路 径数目可能是天文数字。给出一个小程序的流程 图,它包括了一个执行20次的循环。 包含的不同执行路径数达520条,对每一条路径进行 测试需要1毫秒,假定一年工作365 × 24小时,要想 即使能完成这样 把所有路径测试完,需3170年。
的测试,也不意 味差程序没有错 误。如:x=x+z, 错误写成x=x-z,且 当z=0时,这种错 误仍然难以发 现。 测试常常是不充分的,它只能 发现某些错误存在,而不能证 明错误的不存在 。
…实例…

程序正确性证明的方法与技术

程序正确性证明的方法与技术第一章:引言在计算机科学领域中,程序正确性一直是一个重要的问题。

一个正确的程序能够按照预期的方式运行,并且产生正确的结果。

然而,由于程序的复杂性和人为错误的存在,程序的正确性往往难以保证。

因此,为了确保程序的正确性,人们提出了各种不同的方法和技术来进行程序正确性证明。

第二章:静态分析静态分析是一种常用的程序正确性证明方法。

它通过检查程序的源代码或中间表示来发现潜在的错误。

静态分析可以帮助检测常见的编程错误,如空指针引用、数组越界访问和未初始化变量等。

静态分析工具可以在编译时或者运行时进行分析,并提供相应的警告或错误信息。

静态分析方法有很多种,包括类型检查、数据流分析和符号执行等。

类型检查可以检查程序中变量的类型是否匹配,从而避免类型错误的发生。

数据流分析可以分析程序中数据的流动情况,帮助发现潜在的错误和不一致性。

符号执行是一种通过对程序的符号进行替换和计算来进行分析的方法,它可以发现程序中的不变量和约束条件,并用于证明程序的正确性。

第三章:模型检测模型检测是一种通过构建系统的形式化模型来验证程序的正确性的方法。

它将系统的行为抽象成一组状态和转换规则,并使用逻辑表达式来描述系统的性质。

然后,模型检测工具可以自动地遍历系统的状态空间,并检查所描述的性质是否成立。

模型检测方法可以用于验证各种类型的系统,包括并发系统、分布式系统和硬件系统等。

它可以帮助发现系统中的死锁、活锁和资源竞争等问题,并提供相应的修复建议。

模型检测方法的优势在于它可以自动化地进行验证,并且可以发现系统中的隐藏错误,从而提高程序的可靠性。

第四章:形式化验证形式化验证是一种使用数学方法来证明程序正确性的方法。

它通过将程序的语义和性质形式化为数学公式,然后使用定理证明或模型检验等技术来验证这些公式的真假。

形式化验证方法可以提供严格的证明,从而确保程序的正确性。

形式化验证方法有很多种,包括定理证明、模型检验和符号模型检验等。

程序设计基础(知识点)

第三部分程序设计基础3.1 程序、程序设计、程序设计语言的定义⑴程序:计算机程序,是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列,或者可以被自动转换成代码化指令序列的符号化指令序列或者符号化语句序列。

⑵程序设计:程序设计是给出解决特定问题程序的过程,是软件构造活动中的重要组成部分。

程序设计往往以某种程序设计语言为工具,给出这种语言下的程序。

程序设计过程应当包括分析、设计、编码、测试、排错等不同阶段。

⑶程序设计语言:程序设计语言用于书写计算机程序的语言。

语言的基础是一组记号和一组规则。

根据规则由记号构成的记号串的总体就是语言。

在程序设计语言中,这些记号串就是程序。

程序设计语言有3个方面的因素,即语法、语义和语用。

3.2 高级语言和低级语言的概念及区别⑴高级语言:高级语言(High-level programming language)是高度封装了的编程语言,与低级语言相对。

它是以人类的日常语言为基础的一种编程语言,使用一般人易于接受的文字来表示(例如汉字、不规则英文或其他外语),从而使程序编写员编写更容易,亦有较高的可读性,以方便对电脑认知较浅的人亦可以大概明白其内容。

⑵低级语言:低级语言分机器语言(二进制语言)和汇编语言(符号语言),这两种语言都是面向机器的语言,和具体机器的指令系统密切相关。

机器语言用指令代码编写程序,而符号语言用指令助记符来编写程序。

⑶区别:高级语言:实现效率高,执行效率低,对硬件的可控性弱,目标代码大,可维护性好,可移植性好低级语言:实现效率低,执行效率高,对硬件的可控性强,目标代码小,可维护性差,可移植性差了解知识:CPU运行的是二进制指令,所有的语言编写的程序最终都要翻译成二进制代码。

越低级的语言,形式上越接近机器指令,汇编语言就是与机器指令一一对应的。

而越高级的语言,一条语句对应的指令数越多,其中原因就是高级语言对底层操作进行了抽象和封装,使编写程序的过程更符合人类的思维习惯,并且极大了简化了人力劳动。

程序正确性证明


程序正确性的证明方法分类
证明部分正确性的方法 A. Floyd的不变式断言法 B. Manna的子目标断言法 C. Hoare的公理化方法
终止性证明的方法 A. Floyd的良序集方法 B. Knuth的计数器方法 C.Manna等人的不动点方法
完全正确性的方法 A. Hoare公理化方法的推广 B. Burstall的间发断言法 C. Dijkstra的弱谓词变换方法以及强验证方法
检验条件3 y12 ≤x ∧ y2=(y1+1)2 ∧y3 = 2y1+1 ∧ y2>x => y12 ≤x<(y1+1)2 证明: y12 ≤x x<y2,y2=(y1+1)2 =>x<(y1+1)2
作业 课本P174习题1、习题2。要求用不变式断言法证明。
5.3子目标断言法
子目标断言法与不变式断言法的主要区别是: ➢ 两种方法对循环所建立的断言不同。 ✓ 不变式断言描述了程序变量y的中间值与初始值之间关系; ✓ 子目标断言法描述的是y的中间值与循环终止时的最终值yend之间的关系。 ➢ 两种方法进行归纳的方向不同。 ✓ 不变式断言沿着程序正常执行的方向进行归纳; ✓ 子目标断言法则沿着相反方向进行归纳。
y2:=y2-y1
不变式断言法实例1(建立检验条件)
检验条件: I ∧ R => O 通路1:
I(x1,x2)=> P(x1,x2,y1,y2) x1>0 ∧ x2>0 =>
x1>0∧ x2>0 ∧ y1>0 ∧Y2>0 ∧ gcd(y1,y2)=gcd(x1,x2) 通路2:
P(x1,x2,y1,y2) ∧ y1<>y2 ∧ y1>y2 => P(x1,x2,y1-y2,y2) x1>0 ∧x2>0 ∧ y1>0 ∧ y2>0 ∧ gcd(y1,y2)=gcd(x1,x2) ∧ y1<>y2 ∧ y1>y2
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

程序正确性定义
程序设计过程:问题 程序规约 程序
衡量一个程序的正确性,主要看程序是否实现了问 题所要求的功能。若程序实现了问题所要求的功能, 则称它为正确的,否则是不正确的。 对程序的正确性理解,可以分为两个层次:
从广义来说,一个程序的正确性取决于该程序满足问题 实际需求的程度。 从狭义而言,如果一个程序满足了它的程序规约就是正 确的。
程序规约的基本分类
非形式化程序规约 非形式化程序规约采用自然语言描述程序功能, 简单、方便,但存在二义性,因此,不利于程序的 正确性证明。 形式化程序规约 采用数学化的语言描述程序功能,描述精确, 无二义性,便于程序的正确性证明。
程序规约的实例
在书写程序规约时,使用Q表示前置断言,R表示 后置断言,S表示问题求解的实现程序。在前置断 言Q之前,还必须给出Q和R中所出现的标识符的 必要说明。
程序正确性定义
程序规约Q{S}R是一个逻辑表达式,其取值为真或 假。 其中取值为真的含义是指:给定一段程序S,若 程序开始执行之前Q为真,S的执行将终止,且终止 时R为真,则称为 “程序S,关于前置断言Q和后置 断言R是完全正确的”。
程序正确性定义
部分正确: 部分正确 若对于每个使得Q(i)为真,并且程序S计算终止的输入信息i, R(i,S(i))都为真,则称程序S关于Q和R是部分正确的。 程序终止: 程序终止 若对于每个使得Q(i)为真的输入i,程序S的计算都终止,则 称程序S关于Q是终止的。 完全正确: 完全正确 若对于每个使得Q(i)为真的输入信息i,程序S的计算都将终 止,并且R(i,S(i))都为真,则称程序S关于Q和R是完全正确 的。 一个程序的完全正确,等价于该程序是部分正确,同时又是 终止的。
不变式断言法实例1(建立检验条件)
通路3:
P(x1,x2,y1,y2) ∧ y1<>y2 ∧y1<y2 => P(x1,x2,y1,y2-y1)
x1>0 ∧x2>0 ∧ y1>0 ∧ y2>0 ∧ gcd(y1,y2)=gcd(x1,x2) ∧ y1<>y2 ∧ y1<y2 => x1>0 ∧ x2>0 ∧ y1>0 ∧ y2-y1>0 ∧ gcd(y1,y2-y1)=gcd(x1,x2)
通路2:
若y1&g2) =gcd(x1,x2)
通路3:
若y2>y1, gcd(y1,y2)=gcd(y1,y2-y1) =gcd(x1,x2)
通路4:
若y1=y2,gcd(y1,y2) =gcd(x1,x2)=y1=y2=z P(x1,x2,y1,y2) ∧ y1=y2 => O(x1,x2,z)
通路3:B->C
P(x,y1,y2,y3) ∧ y2>x =>O(x,y1) y12 ≤ x ∧ y2=(y1+1)2 ∧y3 = 2y1+1∧ y2>x => y12 ≤ x<(y1+1)2
不变式断言法实例2
检验条件2 y12 ≤ x ∧ y2=(y1+1)2 ∧ y3 = 2y1+1 ∧ y2 ≤ x => (y1+1) 2 ≤ x ∧ y2+y3+2=(y1+1+1) 2 ∧ y3+2=2(y1+1)+1 证明: x≥(y1+1)2 ——(y2 ≤ x , y2=(y1+1)2 ) y2+y3+2 = (y1+1)2 + 2y1 + 1+2 = (y1+1)2 +2 (y1+1)+1= (y1+1+1)2 y3+2=2y1+1+2=2(y1+1)+1 检验条件3 y12 ≤x ∧ y2=(y1+1)2 ∧y3 = 2y1+1 ∧ y2>x => y12 ≤x<(y1+1)2 证明: y12 ≤x x<y2,y2=(y1+1)2 =>x<(y1+1)2
不变式断言法实例2
检验条件:I ∧ R => O 通路1:A->B
I(x)=> P(x,0,1,1) x>0=> 0 ≤ x ∧ 1=(0+1) 2 ∧ 1=2*0+1
通路2:B->D->B
P(x,y1,y2,y3) ∧ y2≤x => p(x,y1+1,y2+y3+2,y3+2) y12≤x ∧ y2=(y1+1)2 ∧ y3 = 2y1+1 ∧ y2≤x => (y1+1) 2 ≤ x ∧ y2+y3+2=(y1+1+1) 2 ∧ y3+2=2(y1+1)+1
完全正确性的方法
A. Hoare公理化方法的推广 B. Burstall的间发断言法 C. Dijkstra的弱谓词变换方法以及强验证方法
循环不变式断言
把反映循环变量的变化规律 变化规律,且在每次循环体的执 变化规律 行前后均为真的逻辑表达式称为该循环的不变式断 不变式断 言。
带余整数除法问题: 为非负整数, 为正整数 为正整数, 例 带余整数除法问题:设x为非负整数,y为正整数,求 为非负整数 x除以 的商 ,以及余数 。 除以y的商 除以 的商q,以及余数r。 程序: 程序: q=0;r=x; = ; = ; while( r ≥ y) //该循环不变式断言: 该循环不变式断言: 该循环不变式断言 { //(x=y×q+r )∧ r ≥ 0 = × + ∧ r = r-y; - ; q = q+1; + ; }
程序规约的实例
例2:求两个非负整数的最大公约数。 :求两个非负整数的最大公约数。 [in a,b :integer; out y:integer] Q: {a ≥ 0 ∧ b ≥ 0} S R:{y = MAX(i: 1 ≤ i ≤min(a,b) ∧ (a mod i = 0) ∧ (b mod i = 0))}
START
· ·
T T
a b
I(x1,x2) P(x1,x2,y1,y2)
(x1,x2)->(y1,y2) y1<>y2
·g
F
F
z:=y1
·c
STOP e
O(x1,x2,z)
y1>y2
d
·
·
y1:=y1-y2
y2:=y2-y1
不变式断言法实例1(建立检验条件)
检验条件: I ∧ R => O 通路1:
第5讲 程序正确性证明
5.1 程序正确性概述
什么样的程序才是正确的? 如何来保证程序是正确的?
关于程序正确性的认识
什么样的程序才是正确的? 测试” 调试” “测试”或“调试”方法 根据问题的特性和软件所要实现的功能,选 择一些具有代表性的数据,设计测试用例。通 过用例程序执行,去发现被测试程序的错误。 采用“测试”方法可以发现程序中的错误, 采用“测试”方法可以发现程序中的错误, 但却不能证明程序中没有错误! 但却不能证明程序中没有错误! 因此,为保证程序的正确性, 因此,为保证程序的正确性,必须从理论 上研究有关“程序正确性证明”的方法。 上研究有关“程序正确性证明”的方法。
不变式断言法实例2
对任一给定的自然数x,计算 = 的平方根取整。 对任一给定的自然数 ,计算z=[ x ],即计算 的平方根取整。 ,即计算x的平方根取整 1+3+…(2n+1)=(n+1)2 开始 y1=n; I(x) y3=2×y1+1; · A (0,0,1)->(y1,y2,y3) y2= (y1+1)2 输入断言: I(x):x>0 y2+y3->y2 输出断言: · B P(x,y1,y2,y3) 2 ≤ x<(z+1)2 O(x,z):z y2>x y1->z ·D 循环不变式: T P(x,y1,y2,y3): · C O(x,z) F y12 ≤ x ∧ y2=(y1+1)2 ∧ (y1+1,y3+2)->(y1,y3) 结束 y3 = 2y1+1
程序正确性的证明方法分类
证明部分正确性的方法
A. Floyd的不变式断言法 的不变式断言法 B. Manna的子目标断言法 的子目标断言法 C. Hoare的公理化方法 的公理化方法
终止性证明的方法
A. Floyd的良序集方法 的良序集方法 B. Knuth的计数器方法 的计数器方法 C.Manna等人的不动点方法
不变式断言法实例1
例:设x,y为正整数,求x,y的最大公约数z的程序,即 z=gcd(x,y)。
Function gcd(x1,x2:integer); var y1,y2,z : Integer; Begin y1:=x1;y2:=x2; while (y1<>y2) do if (y1>y2) y1:=y1-y2 else y2:=y2-y1 z:=y1; write(z); End
程序正确性证明发展历程
20世纪50年代 Turing开始研究。 1967年,Floyd和Naur提出不变式断言法。 1969年,Hoare提出公理化方法。 1975年,Dijkstra提出最弱前置谓词和程序推导方法, 解决了断言构造难的问题,可从程序规约推导出正 确程序,使正确性证明变得实用。 程序正确性理论是十分活跃的课题,不仅可 程序正确性理论是十分活跃的课题, 以证明顺序程序的正确性, 以证明顺序程序的正确性,而且还可以证明非确 定性程序,以及并行程序的正确性。 定性程序,以及并行程序的正确性。
I(x1,x2)=> P(x1,x2,y1,y2) x1>0 ∧ x2>0 => x1>0∧ x2>0 ∧ y1>0 ∧Y2>0 ∧ gcd(y1,y2)=gcd(x1,x2)