程序验证（十二）：完全正确性

程序验证（十二）：完全正确性

完全正确性

完全正确性(total correctness)，写作：$$[P]c[Q]$$，意思是：

• 如果我们从一个满足$P$的环境开始执行$c$
• 那么$c$一定终止
• 且它的最终的环境满足$Q$

良基关系(Well-Founded Relations)

集合$S$上的一个二元关系$\prec$是一个良基关系，当且仅当：

• $S$中不存在无限序列$s_1,s_2,s_2,\dots$，使得对于所有$i>0$都有$s_{i+1}\prec s_i$
• 也就是说，$S$中每个下降序列都是有限的

词法意义上的良基关系

给定集合$S_1,\dots ,S_n$和关系${\prec }_1,\dots ,{\prec }_n$，令$S=S_1\times \cdots \times$
定义关系$\prec$:
$$(s_1,\dots ,s_n)\prec (t_1,\dots ,t_n)\iff \underset{i=1}{\overset{n}{\bigvee }}(s_i{\prec }_i{t}_i\wedge \underset{j=1}{\overset{i-1}{\bigwedge }}{s}_j=t_j)$$
解释一下，$(s_1,\dots ,s_n)\prec (t_1,\dots ,t_n)$当且仅当：

• 在某一位置$i$，$s_i{\prec }_i{t}_i$
• 而对于所有之前的位置$j$，$s_j=t_j$

证明完全正确性

为了证明程序终止，我们需要：

• 在程序的状态上构造一个良基关系$\prec$
• 证明每一个基础路径的的输出状态都“小于”输入状态
  如果满足以上两点，那么程序一定终止，否则就存在一个程序状态的无限序列，这可以被映射到$\prec$上的一个无限下降序列
  与以上两步相对应，我们需要：
• 找到一个函数$\delta$将程序状态映射到一个带有已知良基关系$\prec$的集合$S$
• 证明$\delta$在每一个基础路径上依据$\prec$都是下降的
  函数$\delta$被称为秩函数(ranking function)

对于秩函数的注释

我们用带有$\downarrow$的代码注释秩函数
需要在函数的循环头位置注释

$vc$

$vc$即为
$$P\to wlp(c_1;\dots ;c_n,\delta (x)\prec \delta (x^{\prime }))[x/x^{\prime }]$$
计算的时候用$x^{\prime }$代表开始时$x$的值，计算完毕后再换回来。