„Hoare-Kalkül“ – Versionsunterschied

Der Hoare-Kalkül (auch Hoare-Logik) ist ein Formales System, entwickelt von dem britischen Informatiker C. A. R. Hoare und später verfeinert von Hoare und anderen Wissenschaftlern. Er wurde 1969 in einem Artikel mit dem Titel An axiomatic basis for computer programming veröffentlicht^[1]. Der Zweck des Systems ist es, eine Menge von logischen Regeln zu liefern, die es erlauben, Aussagen über die Korrektheit von imperativen Computer-Programmen zu treffen und sich dabei der mathematischen Logik zu bedienen. Hoare knüpft an frühere Beiträge von Robert Floyd an, der ein ähnliches System für Flussdiagramme veröffentlichte^[2]. Im Gegensatz zum Floyd'schen Verfahren, bei dem Ausführungspfade interpretiert werden, arbeitet der Hoare-Kalkül mit dem Sourcecode^[3].

Alternativ kann auch der wp-Kalkül benutzt werden, bei dem im Gegensatz zum Hoare-Kalkül eine Rückwärtsanalyse stattfindet.

Hoare-Tripel

Das zentrale Element des Hoare-Kalküls ist das Hoare-Tripel, das beschreibt, wie ein Programmteil den Zustand einer Berechnung verändert:

${\displaystyle \{P\}\;S\;\{Q\}.}$

Dabei sind man ${\displaystyle P}$ und ${\displaystyle Q}$ Zusicherungen (englisch assertions), ${\displaystyle S}$ ist ein Programmsegment. ${\displaystyle P}$ ist die Vorbedingung (englisch precondition) und ${\displaystyle Q}$ die Nachbedingung (englisch postcondition). Wenn die Vorbedingung zutrifft, gilt nach der Ausführung des Programmsegements die Nachbedingung. Zusicherungen sind Formeln der Prädikatenlogik^[1].

Ein Tripel kann auf folgende Weise verstanden werden: Falls ${\displaystyle P}$ für den Programmzustand vor der Ausführung von ${\displaystyle S}$ gilt, dann gilt ${\displaystyle Q}$ danach. Falls ${\displaystyle S}$ nicht terminiert, dann gibt es kein danach, also kann in diesem Fall ${\displaystyle Q}$ jede beliebige Aussage sein. Tatsächlich kann man für ${\displaystyle Q}$ die Aussage false wählen, um auszudrücken, dass ${\displaystyle S}$ nicht terminiert. Man spricht hier von partieller Korrektheit. Falls ${\displaystyle S}$ immer terminiert und danach ${\displaystyle Q}$ wahr ist, spricht man von totaler Korrektheit. Die Terminierung muss unabhängig bewiesen werden.

Partielle Korrektheit

Der Hoare-Kalkül besteht aus Axiomen und Ableitungsregeln für alle Konstrukte einer einfachen imperativen Programmiersprache:

Zuweisungsaxiom

Das Zuweisungsaxiom besagt, dass nach einer Zuweisung jede Aussage für die Variable gilt, welche vorher für die rechte Seite der Zuweisung galt:

${\displaystyle \{P[E/x]\}\ x:=E\ \{P\}.}$

${\displaystyle P[E/x]}$ ist die Aussage, die dadurch entsteht, dass man in ${\displaystyle P}$ jedes freie Vorkommen von ${\displaystyle x}$ durch ${\displaystyle E}$ ersetzt.

Genau genommen ist das Zuweisungsaxiom kein einzelnes Axiom, sondern ein Schema für eine unendliche Menge von Axiomen, denn ${\displaystyle x}$, ${\displaystyle E}$ und ${\displaystyle P}$ können jede mögliche Form annehmen, und ${\displaystyle P[E/x]}$ kann daraus konstruiert werden.

Ein Beispiel für ein durch das Zuweisungsaxiom beschriebenes Tripel ist:

${\displaystyle \{x+1=43\}\ y:=x+1\ \{y=43\}.}$

Kompositions- oder Sequenzregel

${\displaystyle {\frac {\{P\}\ S\ \{R\}\ ,\ \{R\}\ T\ \{Q\}}{\{P\}\ S;T\ \{Q\}}}}$

Diese Regel kann auf folgende Weise angewendet werden: Wenn die über dem Strich stehenden Aussagen bewiesen worden sind, kann die unter dem Strich stehende Aussage auch als bewiesen angesehen werden.

Betrachtet man zum Beispiel die folgenden beiden Aussagen, die aus dem Zuweisungsaxiom folgen

${\displaystyle \{x+1=43\}\ y:=x+1\ \{y=43\}}$

und

${\displaystyle \{y=43\}\ z:=y\ \{z=43\}}$

kann man die folgende Aussage daraus folgern:

${\displaystyle \{x+1=43\}\ y:=x+1;z:=y\ \{z=43\}.}$

Auswahlregel (if-then-else-Regel)

${\displaystyle {\frac {\{P\wedge B\}\ S\ \{Q\}\ ,\ \{P\wedge \neg B\}\ T\ \{Q\}}{\{P\}\ \mathrm {if} \ B\ \mathrm {then} \ S\ \mathrm {else} \ T\ \{Q\}}}}$

Die Regel beweist also sowohl den if-Zweig, als auch den else-Zweig.

Iterationsregel (while-Regel)

${\displaystyle {\frac {\{I\wedge B\}\ S\ \{I\}}{\{I\}\ \mathrm {while} \ B\ \mathrm {do} \ S\ \mathrm {done} \ \{I\wedge \neg B\}}}}$

Hierbei wird ${\displaystyle I}$ als die Schleifeninvariante bezeichnet.

Konsequenzregel

${\displaystyle {\frac {P\Rightarrow \ P^{\prime },\ \lbrace P^{\prime }\rbrace \ S\ \lbrace Q^{\prime }\rbrace \ ,\ Q^{\prime }\Rightarrow \ Q}{\lbrace P\rbrace \ S\ \lbrace Q\rbrace }}}$

Die Konsequenzregel erlaubt es, die Vorbedingung zu verstärken und die Nachbedingung abzuschwächen und so die Anwendung anderer Beweisregeln zu ermöglichen. Insbesondere kann man auch die Vor- oder Nachbedingung durch eine äquivalente logische Formel ersetzen. Beispiel:

${\displaystyle \lbrace true\rbrace \ x=0\ \lbrace x\geq 0\rbrace \ }$ ist partiell korrekt, denn

${\displaystyle {\frac {true\Rightarrow 0=0,\lbrace 0=0\rbrace \ x:=0\ \lbrace x=0\rbrace ,\ x=0\Rightarrow x\geq 0}{\lbrace true\rbrace \ x:=0\ \lbrace x\geq 0\rbrace }}.}$

Totale Korrektheit

Wie oben erläutert eignet sich das beschriebene Kalkül nur für den Beweis der partiellen Korrektheit. Zum Beweis der totalen Korrektheit muss while-Regel durch eine Schleifenvariante erweitert werden. Dabei handelt es sich um eine Funktion oder eine Variable ${\displaystyle t}$, die eine Zahl mit einem Anfangswert ${\displaystyle z}$ darstellt. Es muss nun nachgewiesen werden, dass ${\displaystyle t}$ in jedem Schleifendurchlauf verringert wird, und dass die Schleife ab einem bestimmten, verringerten Wert terminiert^[2].

Iterationsregel für totale Korrektheit

${\displaystyle {\frac {\{I\wedge B~\wedge ~t=z\}\ S\ \{I~\wedge ~t<z\},~I\Rightarrow t\geq 0}{\{I\}\ \mathrm {while} \ B\ \mathrm {do} \ S\ \mathrm {done} \ \{I\wedge \neg B\}}}}$

Hierbei ist ${\displaystyle t}$ ein Term, ${\displaystyle I}$ die Schleifeninvariante – also das, was in jedem Schleifendurchlauf gilt – und ${\displaystyle z}$ eine Variable, die in ${\displaystyle B}$, ${\displaystyle t}$, ${\displaystyle S}$ und ${\displaystyle I}$ nicht (frei) vorkommt. Sie dient dazu, den Wert des Terms vor der Schleife mit dem nach der Schleife zu vergleichen. Die Bedingung ${\displaystyle I\Rightarrow t\geq 0}$ stellt sicher, dass ${\displaystyle t}$ nicht negativ wird. Die Idee hinter der Regel ist, dass, wenn ${\displaystyle t}$ mit jedem Schleifendurchlauf abnimmt, aber nie kleiner als Null wird, die Schleife irgendwann enden muss. ${\displaystyle t}$ muss dabei aus einer fundierten Menge sein.

Literatur

• Robert D. Tennent: Specifying Software. A Hands-on Introduction. Cambridge University Press, Cambridge u. a. 2002, ISBN 0-521-00401-2 (ein aktuelles Lehrbuch mit einer Einführung in die Hoare-Logik), Beschreibung und „Errors and Corrections“.

Einzelnachweise

1. ↑ ^{a b} Charles Antony Richard Hoare: An Axiomatic Basis for Computer Programming. In: Communications of the ACM. Bd. 12, Nr. 10, 1969, S. 576–585, doi:10.1145/363235.363259.
2. ↑ ^{a b} Robert W. Floyd: Assigning meanings to programs. In: Proceedings of the American Mathematical Society Symposia on Applied Mathematics. Nr. 19, 1967, S. 19–31. 
3. ↑ Peter Liggesmeyer: Software-Qualität. 2. Auflage. Spektrum Akademischer Verlag, Heidelberg 2009, ISBN 978-3-8274-2056-5, S. 321–360. 

Weblinks

• Das Project Bali hat Regeln nach Art des Hoare-Kalküls für ein Subset von Java aufgestellt, zur Benutzung mit dem Theorembeweiser Isabelle
• Hoare Tutorial Ein Tutorial, das den Umgang mit dem Hoare-Kalkül zur Programmverifikation erklärt (PDF-Datei; 493 kB)
• j-Algo-Modul Hoare Kalkül Ein Visualisierung des Hoare-Kalküls im Rahmen des Algorithmenvisualisierungsprogramms j-Algo