Скачать презентацию 9 10 13 Лекция 4 Предикатное программирование Скачать презентацию 9 10 13 Лекция 4 Предикатное программирование

lecture4.ppt

  • Количество слайдов: 36

9. 10. 13 Лекция 4 Предикатное программирование Теория программ-функций. Язык исчисления вычислимых предикатов 9. 10. 13 Лекция 4 Предикатное программирование Теория программ-функций. Язык исчисления вычислимых предикатов (прод 2. ) Предикаты в качестве параметров предикатов Правила построения заместителей Рекурсивные определения предикатов Пример программы Лемма согласованности предикатов рекурсивного кольца Теорема о согласованности предикатов программы Однозначность предикатов рекурсивного кольца Теорема об однозначности предикатов 4. Система правил доказательства корректности программы Правила для общего случая Правила для вхождений операторов под квантором существования и в левой части

Логическая семантика: L(φ(d: e)) φ(d, e) , где φ ─ имя предиката L(A(x: y) Логическая семантика: L(φ(d: e)) φ(d, e) , где φ ─ имя предиката L(A(x: y) K(x: y)) A(x, y) L(K(x: y)) Операционная семантика: метапрограмма Метаязык. Память – набор секций. Секция памяти – набор переменных и их значений: аргументы, результаты, локалы. s[a] – значение переменной с именем a в секции s s[x] – набор значений для набора имен x в секции s s[a] : = v – оператор присваивания значения v переменной a в секции s s[x] : = w – групповое присваивание набора значений w набору переменных x в секции s s = new. Sect(A) – создание в памяти новой секции s для определения предиката с именем A run. Call(s, φ(d: e)) – исполнение вызова φ(d: e) run. Stat(s, K(x: y)) – исполнение оператора K(x: y) правой части Значение переменной предикатного типа – (имя предиката, набор значений части аргументов) Например, (A, z~), для A(z, t: y) K(z, t: y), где t не пусто.

s[C] = (A, z~) предикат A является заместителем переменной C предикатного типа. subs(C) множество s[C] = (A, z~) предикат A является заместителем переменной C предикатного типа. subs(C) множество заместителей переменной C. A subs(C) H(x: y) есть вызов предиката или оператор. RUN(H, x, y) существует исполнение H(x: y) для значений набора x, завершающееся значениями набора y. Свойство согласованности Cons(H) x y L(H(x: y)) RUN(H, x, y) (4. 11) Предикат A обладает свойством согласованности Cons(A) если любой его вызов обладает свойством согласованности

3. Теория программ-функций. Язык исчисления вычислимых предикатов (прод 2) 3. Теория программ-функций. Язык исчисления вычислимых предикатов (прод 2)

Рекурсивные определения предикатов depend(B, C) ― непосредственная зависимость B от C в правой части Рекурсивные определения предикатов depend(B, C) ― непосредственная зависимость B от C в правой части определения B имеется вызов предиката C. def(B, C) ― B определяется через предикат C существуют предикаты D 1, D 2, …, Dn (n > 0) такие, что B = D 1, C = Dn и depend(Dj, Dj+1) (j = 1, …, n-1). Определение предиката B рекурсивно def(B, B) rec(B) = {C | def(B, C) & def(C, B)} ― рекурсивное кольцо Лемма C rec(B) = rec(C). B косвенно зависит от C в правой части определения B имеется вызов предиката H(x, A: …) и C subs(A); H также зависит от C Cons. Pred(x, B: A). Сложная форма рекурсии для предиката B: A вызывается в правой части определения B ! Сложные формы рекурсии запрещены

График предиката B(x: y) есть Gr(B) = {(x, y) | L(B(x: y))}. Как следствие, График предиката B(x: y) есть Gr(B) = {(x, y) | L(B(x: y))}. Как следствие, L(B(x: y)) (x, y) Gr(B). Представим графики оператора суперпозиции (3. 16), параллельного оператора (3. 19) и условного оператора (3. 20), используя определения логической семантики операторов: Gr. S(P, Q) = Gr(B(x: z); C(z: y)) = {(x, y) | z. (x, z) P & (z, y) Q} (3. 33) Gr. P(P, Q) = Gr(B(x: y)||C(x: z)) = {(x, y, z) | (x, y) P & (x, z) Q} (3. 34) Gr. C(P, Q) = Gr(if (b) B(x: y) else C(x: y)) = (3. 35) {(b, x, y) | b & (x, y) P} {(b, x, y) | b & (x, y) Q} Здесь графики P = Gr(B) и Q = Gr(C).

Рекурсивное кольцо предикатов A 1, A 2, …, An: Ai(xi: yi) Ki(xi: yi); i Рекурсивное кольцо предикатов A 1, A 2, …, An: Ai(xi: yi) Ki(xi: yi); i = 1…n; n > 0, (3. 36) где xi и yi наборы переменных, Ki оператор суперпозиции, параллельный оператор или условный оператор. В операторах Ki могут встречаться вызовы предикатов A 1, A 2, …, An, а также вызовы других предикатов, не принадлежащих кольцу и определяемых вне кольца. G 1, G 2, …, Gn графики предикатов A 1, A 2, …, An. По системе (3. 36) строится система уравнений для графиков предикатов: G = V(G) , (3. 37) где G = (G 1, G 2, …, Gn) вектор графиков предикатов, V = (Gr(K 1), Gr(K 2), …, Gr(Kn)) вектор графиков операторов. Здесь Gr(Kj)(xj: yj) (j = 1, …, n) рассматривается как Gr(Kj)(G 1, G 2, …, Gn); Gr(Kj) есть Gr. S, Gr. P или Gr. C. G вектор-график. Gj = pr(j, G).

Отношение “ ” на множестве вектор-графиков, является полной решеткой. Минимальный элемент пустой график . Отношение “ ” на множестве вектор-графиков, является полной решеткой. Минимальный элемент пустой график . Для произвольных вектор-графиков H и L истинно утверждение: H L i=1. . n. Hi Li (3. 38) Отношение “ ” для каждой из компонент вектор-графика является полной решеткой. Рассмотрим цепь векторов-графиков {Gm}m 0: G 0 = , Gm+1 = V(Gm), m 0 (3. 39) Factorial(n: f) if (n = 0) f = 1 else f = n Factorial(n - 1) A 0(n: f) A 1( : c 0, c 1); A 2(n, c 0, c 1: f) A 1( : c 0, c 1) Cons. Int. Zero( : c 0) || Cons. Int. One( : c 1) A 2(n, c 0, c 1: f) =(n, c 0: b); A 3(n, c 1, b: f) if (b) =(c 1: f) else A 4(n, c 1: f) -(n, c 1: n 1); A 5(n, n 1: f) A 0(n 1: f 1); (n, f 1: f) G = (G 0, G 2, G 3, G 4, G 5 ).

A 0(n: f) A 1( : c 0, c 1); A 2(n, c 0, A 0(n: f) A 1( : c 0, c 1); A 2(n, c 0, c 1: f) A 1( : c 0, c 1) Cons. Int. Zero( : c 0) || Cons. Int. One( : c 1) A 2(n, c 0, c 1: f) =(n, c 0: b); A 3(n, c 1, b: f) if (b) =(c 1: f) else A 4(n, c 1: f) -(n, c 1: n 1); A 5(n, n 1: f) A 0(n 1: f 1); (n, f 1: f) G 0 = , Gm+1 = V(Gm), m 0 (3. 39) G 31: 0, 1, true 1 G 22: 0, 0, 1 1 G 03: 0 1 G 54: 1, 0 1 n 1 = 0 как результат подстановки G 04; G 45: 1, 1 1 G 36: 0, 1, true 1; G 36: 1, 1, false 1; G 27: 0, 0, 1 1; G 27: 1, 0, 1 1; G 08: 0 1; G 08: 1 1; и т. д.

Лемма 3. 12. Пусть {Hm}m 0 возрастающая цепь векторграфиков. Тогда : m 0 Hm Лемма 3. 12. Пусть {Hm}m 0 возрастающая цепь векторграфиков. Тогда : m 0 Hm = ( m 0 H 1 m, …, m 0 Hnm). Лемма 3. 13. Пусть {Hm}m 0 возрастающая цепь векторграфиков и H~ = m 0 Hm. Пусть w H~, где w набор вида (x 1, y 1, x 2, y 2, …, xn, yn). Тогда k m k. w Hm. Доказательство от противного. Допустим, что k набор w не принадлежит вектор-графику Hk. Определим векторграфик H#, совпадающий с H~ всюду, за исключением набора w, который ему не принадлежит. Предикат H# является верхней гранью последовательности {Hm}m 0, причем H# H~ и H# H~, а тогда грань H~ не является минимальной, что приводит к противоречию. □ Замечание. Лемма верна и для возрастающей цепи обычных графиков {Hjm}m 0. Лемма 3. 14. Вектор-функция V, составленная из непрерывных функций Vi (i = 1…n) непрерывна. Доказательство. Пусть {Hm}m 0 возрастающая цепь векторграфиков. В соответствии с леммой 3. 12: m 0 V(Hm) = m 0 (V 1(Hm), …, Vn(Hm)) = = ( m 0 V 1(Hm), …, m 0 Vn(Hm))= = (V ( Hm), …, V ( Hm)) = V( Hm). □

Лемма 3. 15. Функции Gr. S, Gr. P и Gr. C (3. 33 -3. Лемма 3. 15. Функции Gr. S, Gr. P и Gr. C (3. 33 -3. 35) графиков оператора суперпозиции, параллельного оператора и условного оператора, непрерывны относительно вхождений графиков P и Q. Доказательство. Докажем непрерывность функции Gr. S(P, Q) для оператора суперпозиции. Пусть {Hm}m 0 возрастающая цепь вектор-графиков. Здесь H вырождается в набор (P, Q). Необходимо доказать, что Gr. S( m 0(P, Q)m) = m 0 Gr. S((P, Q)m). Это эквивалентно Gr. S( m 0 Pm, m 0 Qm) = m 0 Gr. S(Pm, Qm) при условии, что {Pm}m 0 и {Qm}m 0 возрастающие цепи графиков предикатов. Итак, требуется доказать: {(x, y) | z. (x, z) m 0 Pm & (z, y) m 0 Qm} = = m 0{(x, y)| z. (x, z) Pm & (z, y) Qm} Пусть (x, y) принадлежит множеству в левой части. Тогда для некоторого z 0 истинны (x, z 0) m 0 Pm и (z 0, y) m 0 Qm. В соответствии с леммой 3. 13 существует такое k, что (x, z 0) Pk и (z 0, y) Qk. Далее, очевидно, (x, y) принадлежит правой части равенства. Нетрудно показать, что {(x, y)| z. (x, z) Pm & (z, y) Qm}m 0 возрастающая цепь графиков. Допустим, (x, y) принадлежит наименьшей верхней грани этой цепи, т. е. правой части равенства. Принадлежность (x, y) множеству в правой части доказывается применением леммы 3. 13. Непрерывность функций Gr. P и Gr. C доказывается аналогично. □

График Gr. C(P, Q) условного оператора if (b) B(x: y) else C(x: y) не График Gr. C(P, Q) условного оператора if (b) B(x: y) else C(x: y) не является непрерывным относительно вхождения переменной b (не является даже монотонным). Поэтому вхождение b не может быть источником рекурсии. Ограничение: Допустим, значение переменной b является результатом вызова E(…: b…). Предикат, правой частью которого является условный оператор, и предикат E не могут входить в одно и то же рекурсивное кольцо. Допустим, система (3. 36) определений кольца предикатов не использует сложные формы рекурсии и удовлетворяет отмеченному ограничению. Из лемм 3. 14 и 3. 15 следует, что вектор-график операторов V в системе уравнений G = V(G) для графиков кольца предикатов является непрерывным. В соответствии с теоремой Клини о неподвижной точке решение системы G = V(G) есть G = lfp(V) = m 0 Gm, где G 0 = , Gm+1 = V(Gm), m 0, lfp(V) наименьшая неподвижная точка (least fixed point) вектор-графика операторов V.

Пусть рекурсивный предикат D(z: u) принадлежит кольцу (3. 36), т. е. D = Aj Пусть рекурсивный предикат D(z: u) принадлежит кольцу (3. 36), т. е. D = Aj для некоторого j. Логическая семантика предиката D определяется следующим образом: L(D(z: u)) (z, u) pr(j, m 0 Gm) (3. 40) Систему (3. 36) определений кольца предикатов запишем в векторном виде: A K(A), где A = (A 1, A 2, …, An), K = (K 1, K 2, …, Kn). Определим цепь векторов предикатов {Am}m 0: A 0 Ф, Am+1 K(Am), m 0, (3. 41) где Ф (F, F, …, F) вектор тотально ложных предикатов. Цепь {Am}m 0 соответствует цепи (3. 39) вектор-графиков {Gm}m 0, поскольку Gm = (Gr(Am 1), Gr(Am 2), …, Gr(Amn)). G 0 = , Gm+1 = V(Gm), m 0 Ai(xi: yi) Ki(xi: yi); i = 1…n; n > 0, (3. 39) (3. 36)

Структура рекурсивного кольца предикатов Пусть предикат D принадлежит кольцу и имеет определение, в правой Структура рекурсивного кольца предикатов Пусть предикат D принадлежит кольцу и имеет определение, в правой части которого вызываются предикаты B и C. Тогда один из предикатов (или оба) принадлежат кольцу. В противном случае предикат D не будет принадлежать кольцу. В соответствии с определением D 0 = F, где F тотально ложный предикат. Далее, D 1 = F, если D имеет определение в виде оператора суперпозиции или параллельного оператора, поскольку конъюнкция двух вызовов предикатов, из которых один ложный, дает ложный предикат. Если D имеет определение в виде условного оператора, а вызываемые предикаты B и C оба принадлежат кольцу, то также имеем D 1= F. Если во всех условных операторах, используемых в определениях предикатов кольца, оба вызываемых предиката принадлежат кольцу, то решением системы A = K(A) является набор тождественно ложных предикатов. Поэтому в дальнейшем будем считать, что в системе A = K(A) имеется по крайней мере один предикат с определением в виде условного оператора, причем в правой части один вызываемый предикат принадлежит кольцу, а другой нет.

Рекурсивное кольцо предикатов представим в виде: A K(A 1, A 2, …, An, E Рекурсивное кольцо предикатов представим в виде: A K(A 1, A 2, …, An, E 1, E 2, …, Es) (3. 42) E 1, E 2, …, Es, s > 0, предикаты, используемые в правых частях определений (3. 36), но не принадлежащих данному кольцу. Лемма 3. 16. Пусть предикаты E 1, E 2, …, Es, используемые в системе (3. 42), обладают свойством согласованности. Тогда рекурсивные предикаты A 1, A 2, …, An кольца (3. 42) обладают свойством согласованности. Доказательство. Пусть D(u: v) рекурсивный предикат кольца, т. е. D = Aj для некоторого j. Докажем истинность Cons(D). Зафиксируем u и v. Допустим, D(u: v) истинно и докажем, что исполнение вызова D(u: v) на выбранных значениях набора u завершается вычислением значений набора v. В соответствии с логикой L (3. 40) (u, v) pr(j, G). Существует w G такой, что (u, v) = pr(j, w). По лемме 3. 13 существует k такой, что w Gk. Доказательство реализуется индукцией по k. Рассмотрим случай k = 1, т. е. w G 1. Единственная возможность: правая часть D имеет вид условного оператора if (b) B(u: v) else C(u: v), причем значение b выбирает предикат B или C, не принадлежащий кольцу; в противном случае D(u: v) будет ложным. Поскольку выбранный предикат (B или C) обладает свойством согласованности, то его исполнение (а значит и исполнение D) завершается вычислением набора u, что завершает доказательство для k = 1.

Индукционное предположение для k>1: если предикат кольца P(t: q) истинен для t и q, Индукционное предположение для k>1: если предикат кольца P(t: q) истинен для t и q, а (t, q) поднабор некоторого w 1 Gm при m

Допустим, что для фиксированных значений u исполнение вызова D(u: v) завершается значениями набора v. Допустим, что для фиксированных значений u исполнение вызова D(u: v) завершается значениями набора v. Докажем истинность D(u: v). Совокупность исполняемых вызовов предикатов имеет форму дерева вызовов. Вершина дерева вызов предиката с конкретными значениями аргументов и результатов вызова. Начальной вершиной является вызов D(u: v). Листьями дерева являются вызовы предикатов E 1, E 2, …, Es. Два вызова связаны дугой, если второй вызов исполняется в теле определения предиката для первого вызова. Доказательство индукцией по высоте k дерева. Пусть высота k = 1. Это возможно, когда правая часть D есть if (b) B(u: v) else C(u: v), а предикат (B или C) является одним из E 1, E 2, …, Es. Из согласованности этих предикатов следует истинность исполняемого вызова, а значит, и истинность D(u: v). Будем использовать следующее индукционное предположение: если вызов P(t: q) является вершиной дерева вызовов, высота m поддерева, определяемого вызовом P(t: q), меньше k и исполнение вызова на наборе t завершается вычислением набора q, то P(t: q) истинно. Рассмотрим случай, когда определения D есть B(u: z); C(z: v). Допустим, что исполнение вызова B(u: z) (при исполнении D(u: v)) завершилось вычислением набора z 1. Если B является одним из E 1, E 2, …, Es, то вызов B(u: z 1) является истинным. Допустим, B принадлежит кольцу. Вызов B(u: z 1) определяет поддерево в дереве вызовов с высотой m = k - 1 . В соответствии с индукционным предположением, вызов B(u: z 1) является истинным. Аналогично доказывается истинность вызова C(z 1: v). Как следствие, истинна формула z. B(u: z) & C(z: v), что определяет истинность D(u: v). Доказательство для случаев, когда предикат D определяется в виде параллельного или условного оператора, проводится аналогично. □

Теорема 3. 1. При наличии в программе вызова вида Cons. Array(x, B: A) предикат Теорема 3. 1. При наличии в программе вызова вида Cons. Array(x, B: A) предикат B определяет однозначную всюду определенную функцию. Допустим, что для всякого другого базисного предиката языка CCP реализуется свойство согласованности Cons( ). Пусть имеется программа на языке CCP, и ее исполнение реализуется вызовом предиката D(u: v). Тогда истинно Cons(D). Доказательство. Сначала доказательство проводится для программы, в которой нет переменных предикатного типа. Рассмотрим случай, когда программа не содержит рекурсивно определяемых предикатов. Пусть предикат D имеет определение в виде оператора суперпозиции (3. 16), параллельного оператора (3. 19) или условного оператора (3. 20). В соответствии с леммами 3. 3, 3. 4 и 3. 5 достаточно установить свойство согласованности для предикатов B и C, вызываемых в правой части определения. Если эти предикаты базисные, то для них это свойство является условием теоремы. Если один из них определяемый, то его полное замкнутое определение представляется частью программы меньшего размера, что позволяет применить доказательство по индукции.

Допустим, программа на языке CCP содержит несколько рекурсивных колец предикатов. Пусть кольцо определяется системой Допустим, программа на языке CCP содержит несколько рекурсивных колец предикатов. Пусть кольцо определяется системой (3. 42). Кольцо зависит от кольца , если один из предикатов E 1, E 2, …, Es принадлежит другому кольцу . Рекурсивные кольца образуют граф. Вершинами являются кольца, а дугами отношения зависимости колец. Допустим, что имеется цикл в графе колец. Тогда предикаты разных колец, находящихся на цикле, должны принадлежать одному кольцу. Следовательно, граф не имеет циклов и является деревом. Докажем свойство согласованности для предикатов произвольного рекурсивного кольца , определяемого системой (3. 42). Рассмотрим различные пути от до листьев дерева колец. Пусть k максимальная длина пути по этому набору путей. Доказательство проводится индукцией k. При k = 0 предикаты E 1, E 2, …, Es не являются рекурсивно определяемыми и, следовательно, обладают свойством согласованности. По лемме 3. 16 предикаты кольца обладают свойством согласованности. Предположим, что свойство согласованности доказано для колец с длиной пути m = k - 1, и докажем его для кольца . Рассмотрим предикат Ej (j=1, …, s). Пусть Ej принадлежит рекурсивному кольцу . Из кольца имеется дуга в кольцо . Поэтому максимальная длина пути для по крайней мере на единицу меньше, чем k. По индуктивному предположению предикаты кольца обладают свойством согласованности. Таким образом, предикаты E 1, E 2, …, Es обладают свойством согласованности. Свойство согласованности предикатов кольца следует из леммы 3. 16.

Рассмотрим общий случай, когда программа П может содержать переменные предикатного типа. Обозначим через SUBS(П) Рассмотрим общий случай, когда программа П может содержать переменные предикатного типа. Обозначим через SUBS(П) набор предикатов, являющийся объединением множеств заместителей для всех переменных предикатного типа в программе П. Пусть П[M] минимальная программа, являющаяся частью П и содержащая определения предикатов набора M. Пусть П 0 = П, Пj+1 = Пj[SUBS(Пj)], j = 0, 1, 2, …. Докажем, что при некотором k программа Пk , а Пk+1 = . Допустим обратное, т. е. существует такое k, что Пk и Пk+1 = Пk. Пусть Пk построено на базе заместителей B 1, B 2, …, Bn; n > 0. Тогда Пk содержит вызовы генераторов Cons(x, B 1: A 1), …, Cons(x, Bn: An). Допустим, Cons(x, B 1: A 1) встречается в программе Пk[{B 1}]. В Пk[{B 1}] должен встречаться вызов C(…), где C переменная предикатного типа и значение C получено от A 1 через параметры вызовов; иначе генератор становится ненужным и может быть исключен из программы. Поскольку вызов C(…) доступен при исполнении тела предиката B 1, то получаем рекурсивный вызов B 1 через вызов C(…) это сложная форма рекурсии, которая запрещена. Поэтому Cons(x, B 1: A 1) не может встречаться в программе Пk[{B 1}]. Пусть он встречается в Пk[{B 2}]. Тогда из тела предиката B 2 через некоторый косвенный вызов C(…) вызывается предикат B 1. Если Cons(x, B 2: A 2) встречается в Пk[{B 1}], то получим сложную форму рекурсии. Поэтому генератор Cons(x, B 2: A 2) может быть доступен только из третьего предиката, например, B 3. Продолжая анализ для B 3 и далее, получим цепочку предикатов, которая неизбежно замкнется, что приведет к сложной форме

Итак, Пk и Пk+1 = . Программа Пk не содержит переменных предикатного типа. Для Итак, Пk и Пk+1 = . Программа Пk не содержит переменных предикатного типа. Для этого случая теорема доказана. Тогда предикаты B 1, B 2, …, Bn, входящие в SUBS(Пk-1), обладают свойством согласованности. В соответствии с леммой 3. 11 любой вызов вида C(…) в программе Пk-1, где C переменная предикатного типа, обладает свойством согласованности. Доказательство теоремы, представленное выше, может быть повторено для программы Пk-1. Доказательство теоремы для произвольной программы Пi, i = k-1, …, 0, проводится по индукции. □ Лемма 3. 11. Имеется вызов A(z: u), где A переменная предикатного типа. Тогда: ( B subs(A). Cons(B)) Cons(A).

Однозначность предикатов Лемма 3. 17. Оператор суперпозиции (3. 16), параллельный оператор (3. 19) Однозначность предикатов Лемма 3. 17. Оператор суперпозиции (3. 16), параллельный оператор (3. 19) или условный оператор (3. 20) является однозначным, если вызываемые в операторе предикаты B и C являются однозначными. Лемма 3. 18. Пусть имеется рекурсивное кольцо предикатов (3. 42). Кроме рекурсивных предикатов A 1, A 2, …, An в правых частях определений кольца предикатов используются предикаты E 1, E 2, …, Es. Предположим, что предикаты E 1, E 2, …, Es являются однозначными. Если аргумент определения кольца имеет предикатный тип, то предикат, являющийся значением аргумента, считается однозначным. Тогда рекурсивные предикаты A 1, A 2, …, An кольца (3. 42) являются однозначными. Доказательство. Из-за ограничений на сложные формы рекурсии предикат, являющийся значением аргумента, не может входить в кольцо предикатов. Поэтому можно считать, что такой предикат находится среди E 1, E 2, …, Es. A K(A 1, A 2, …, An, E 1, E 2, …, Es) (3. 42)

Пусть D(u: v) рекурсивный предикат кольца, т. е. D = Aj для некоторого Пусть D(u: v) рекурсивный предикат кольца, т. е. D = Aj для некоторого j. Допустим, истинны D(u: v 1) и D(u: v 2). Необходимо доказать, что v 1 = v 2. В соответствии с леммой 3. 13 существует m, при котором Dm(u: v 1) и Dm(u: v 2) истинны. Поэтому достаточно доказать, каждый элемент Am цепи {Am}m 0, определенной в (3. 41), является вектором однозначных предикатов. Доказательство проводится индукцией по m. Элемент A 0 является вектором однозначных предикатов, поскольку тотально ложный предикат F является однозначным. Допустим, по индуктивному предположению, Am-1 является вектором однозначных предикатов. Докажем это свойство для Am. В правой части каждого определения из Am используется оператор суперпозиции, параллельный оператор или условный оператор. Вызываемые предикаты в правой части: Am-11, Am-12, …, Am-1 n и E 1, E 2, …, Es однозначны. Однозначность компонент Am следует из леммы 3. 17. □ Базисные предикаты Cons. Pred и Cons. Array не являются однозначными. В двух разных исполнениях вызова Cons. Pred(x, B: A) (при совпадающих x и B) в качестве значения переменной A будут получены разные имена.

Лемма 3. 19. Вызов C(…), где C переменная предикатного типа, является однозначным, если для Лемма 3. 19. Вызов C(…), где C переменная предикатного типа, является однозначным, если для каждого вызова конструктора Cons. Pred(x, B: A) или Cons. Array(x, B: A) предикат B является однозначным. Теорема 3. 2. Допустим, всякий базисный предикат языка CCP, кроме Cons. Pred и Cons. Array, является однозначным. Пусть имеется программа на языке CCP, и ее исполнение реализуется вызовом предиката D(u: v), причем в наборе v нет переменных предикатного типа. Тогда предикат D является однозначным. Доказательство. Сначала доказательство проводится для программы, в которой нет переменных предикатного типа. Рассмотрим случай, когда программа не содержит рекурсивно определяемых предикатов. Если предикат D базисный, то его однозначность гарантируется условием теоремы. Пусть предикат D имеет определение в виде оператора суперпозиции, параллельного оператора или условного оператора. В соответствии с леммой 3. 17 достаточно установить однозначность предикатов B и C, вызываемых в правой части определения. Если эти предикаты базисные, то их однозначность является условием теоремы. Если один из них определяемый, то его полное замкнутое определение программа меньшего размера. Далее по индукции.

Имеется рекурсивных дерево колец (теорема 3. 1). Для колец, являющихся листьями, однозначность следует из Имеется рекурсивных дерево колец (теорема 3. 1). Для колец, являющихся листьями, однозначность следует из леммы 3. 18. Применяется индукция по длине пути в дереве колец. Доказательство легко обобщается для случая, когда в программе имеются переменные предикатного типа, а их значения однозначные предикаты. Допустим, в программе П имеются переменные предикатного типа. Обозначим через SUBS(П) набор предикатов, являющийся объединением множеств заместителей для всех переменных предикатного типа в программе П. Для набора предикатов M из П обозначим через П[M] минимальную программу, являющуюся частью П и содержащую определения предикатов набора M. Пусть П 0 = П, Пj+1 = Пj[SUBS(Пj)], j=0, 1, 2, …. В теореме 3. 1 доказано, что для некоторого k программа Пk , а Пk+1 = . Программа Пk не содержит переменных предикатного типа. Однозначность предикатов программы Пk доказана выше. Тогда предикаты B 1, B 2, …, Bn, входящие в SUBS(Пk-1), являются однозначными. В соответствии с леммой 3. 19 любой вызов вида C(…) в программе Пk-1, где C переменная предикатного типа, является однозначным. Доказательство теоремы, представленное выше, обобщается для программы Пk-1, поскольку согласно принятым ограничениям вызов вида C(…) не может участвовать в рекурсии. Доказательство теоремы для произвольной программы Пi, i = k-1, …, 0, проводится по индукции. □

4. Система правил доказательства корректности операторов 4. Система правил доказательства корректности операторов

[P(x), Q(x, y)] спецификация программы S(x: y), P(x) предусловие, Q(x, y) постусловие. Тотальная корректность [P(x), Q(x, y)] спецификация программы S(x: y), P(x) предусловие, Q(x, y) постусловие. Тотальная корректность программы S(x: y) относительно спецификации [P(x), Q(x, y)] : Corr(S, P, Q) (x) P(x) y. (L(S(x: y)) Q(x, y)) & y. L(S(x: y)) (6) Однозначность программы, тотальность и однозначность спецификации : SP(P, S) y 1, y 2. P(x) & L(S(x: y 1)) & L(S(x: y 2)) y 1 = y 2 (7) T(P, Q)(x) P(x) y. Q(x, y) (8) SV(P, Q)(x) y 1, y 2. P(x) & Q(x, y 1) & Q(x, y 2) y 1 = y 2 (9) Note. Тотальность программы - y. L(S(x: y)).

Теорема 2. 1 тождества спецификации и программы P(x) { S (x, y) } Q(x, Теорема 2. 1 тождества спецификации и программы P(x) { S (x, y) } Q(x, y) (2. 1) Оператор S(x, y) является однозначным, а спецификация [P(x), Q(x, y)] тотальной. Пусть истина формула: P(x) & Q(x, y) L(x, y) (2. 6) Тогда программа (2. 1) является корректной. SP(P, S); T(P, Q)(x); x, y. P(x) & Q(x, y) L(S(x: y)) T 1: T 0: Corr(S, P, Q)(x) y. P(x) & L(S(x: y)) Q(x, y); P(x) y. L(S(x: y)) Corr(S, P, Q)(x) посылки T 1. 2 и T 1. 3

Логика базисных операторов x, y и z – не пересекаются, x может быть Логика базисных операторов x, y и z – не пересекаются, x может быть пустым E – логическое выражение, зависящее от x L(B(x: z); C(z: y)) z. L(B(x: z)) & L(C(z: y)) (1) L(B(x: y) || C(x: z)) L(B(x: y)) & L(C(x: z)) (2) L(if (E) B(x: y) else C(x: y)) (E L(B(x: y))) ( E L(C(x: y))) (3)

Система правил декомпозиции доказательства корректности программы. Общий случай Параллельный оператор QP: Corr(B, P, QB)(x); Система правил декомпозиции доказательства корректности программы. Общий случай Параллельный оператор QP: Corr(B, P, QB)(x); Corr(C, P, QC)(x); Corr(B(x: y) C(x: z), P, x, y, z. QB(x, y) & QC(x, z))(x) Доказательство истинности правила QP. Допустим, истинно предусловие P(x). Необходимо доказать тотальность формулы L(A(x: y) || B(x: z)) и выводимость из этой формулы постусловия Q(x, y) & R(x, z). Формула L(B(x: y) || C(x: z)) эквивалентна L(B(x: y) & L(C(x: z)). Из истинности P(x) и корректности операторов B(x: y) и С(x: z) следует истинность следующих формул: L(B(x: y)) Q(x, y), y. L(B(x: y)), L(C(x: z)) R(x, z) и z. L(C(x: z)). Конъюнкция y. L(B(x: y)) и z. L(C(x: z)) дает тотальность формулы L(A(x: y) || B(x: z)). Выводимость Q(x, y) & R(x, z) также очевидна. □

Условный оператор Corr(B, x. P(x) & E(x), Q)(x); Corr(C, x. P(x) & E(x), Q)(x); Условный оператор Corr(B, x. P(x) & E(x), Q)(x); Corr(C, x. P(x) & E(x), Q)(x); QC: Corr( if (E(x)) B(x: y) else C(x: y), P, Q)(x) Доказательство QC. Пусть истинно P(x). Необходимо доказать тотальность L(if (E) B(x: y) else C(x: y)) и выводимость из нее постусловия Q(x, y). Формула L(if (E) B(x: y) else C(x: y)) эквивалентна: (E L(B(x: y))) ( E L(C(x: y))). Пусть E истинно. Из истинности P(x) & E и корректности B(x: y) следует y. L(B(x: y)). Далее, будет истинной формула y. (E L(B(x: y))). Из истинности E следует истинность E L(C(x: y)) и, значит, формулы y. [(E L(B(x: y))) & ( E L(C(x: y)))]. Это доказывает тотальность L(if (E) B(x: y) else C(x: y)) для истинного E. Тотальность в случае ложного E доказывается аналогичным образом.

Условный оператор (прод. ) Corr(B, x. P(x) & E(x), Q)(x); Corr(C, x. P(x) & Условный оператор (прод. ) Corr(B, x. P(x) & E(x), Q)(x); Corr(C, x. P(x) & E(x), Q)(x); QC: Corr( if (E(x)) B(x: y) else C(x: y), P, Q)(x) Пусть формула L(if (E) B(x: y) else C(x: y)) истинна. Докажем истинность Q(x, y). Допустим, E истинно. Из истинности P(x) & E и корректности оператора B(x: y) следует истинность формулы L(B(x, y)) Q(x, y). Из истинности (E L(B(x: y)) следует истинность L(B(x: y) и далее – Q(x, y). Истинность Q(x, y) при ложном E доказывается аналогично. □

Оператор суперпозиции QS: P(x) z. L(B(x: z)); z. Corr(C, x, z. P(x) & L(B(x: Оператор суперпозиции QS: P(x) z. L(B(x: z)); z. Corr(C, x, z. P(x) & L(B(x: z)), Q) (z); Corr(B(x: z); C(z: y), P, Q)(x) Доказательство QS. Необходимо доказать тотальность L(B(x: z); C(z: y)) и выводимость постусловия Q(x, y) из L(B(x: z); C(z: y)). Формула L(B(x: z); C(z: y)) эквивалентна z. L(B(x: z)) & L(C(z: y)). Из истинности предусловия P(x) и QS. 1 следует z. L(B(x: z)). Допустим, для некоторого z 0 формула L(B(x: z 0)) истинна. Из QS. 2 следует истинность L(C(z 0: y)) Q(x, y) и y. L(C(z 0: y)). Тогда y. z. L(B(x: z)) & L(C(z: y)) ( тотальность L(B(x: z); C(z: y)) ). Пусть L(B(x: z); C(z: y)) истинно, т. е. z. L(B(x: z)) & L(C(z: y)). Пусть формула истинна при z 1. Подставляя z 1 в QS. 2 получим истинность Q(x, y). □

Оператор суперпозиции с корректным первым подоператором Corr( B, PB, QB)(x); P(x) PB(x); z. Corr( Оператор суперпозиции с корректным первым подоператором Corr( B, PB, QB)(x); P(x) PB(x); z. Corr( C, x, z. P(x) & QB (x, z), Q) (z) QSB: Corr( B(x: z); C(z: y), P, Q) (x) Декомпозиция формул для: - вхождения оператора под квантором в правой части - вхождения оператора в левой части

Декомпозиция вхождений операторов Оператор суперпозиции ES: R(x) ├ z. L(B(x: z)); R(x) & L(B(x: Декомпозиция вхождений операторов Оператор суперпозиции ES: R(x) ├ z. L(B(x: z)); R(x) & L(B(x: z))├ y. L(C(z: y)) R(x) ├ y. L(B(x: z); C(z: y)) Доказательство ES. Формула y. L(B(x: z); C(z: y)) эквивалентна y. z. (L(B(x: z)) L(C(z: y))). Пусть истинно R(x). Из ES. 1 истинна z. L(B(x: z)). Допустим, для z 0 истинна L(B(x: z 0)). Из ES. 2 истинна формула y. L(C(z 0: y)). В итоге будет истинна y. z. (L(B(x: z)) L(C(z: y))). □ R(x) & L(B(x: z)) & L(C(z: y)) H(x, y) FLS: R(x) & L(B(x: z); C(z: y)) H(x, y) Доказательство FLS. Пусть истинно R(x) & L(B(x: z); C(z: y)). Формупа L(B(x: z); C(z: y)) эквивалентна z. L(B(x: z)) L(C(z: y)). Допустим, формула истинна при z 0. Тогда истинны L(B(x: z 0)) и L(C(z 0: y)). Применение FLS. 1 доказывает истинность H(x, y).

Правила для корректных подоператоров Правило для параллельного оператора Corr(B, PB, QB)(x); Corr(C, PC, QC)(x); Правила для корректных подоператоров Правило для параллельного оператора Corr(B, PB, QB)(x); Corr(C, PC, QC)(x); P(x) PB(x) & PC(x); y, z. QB(x, y) & QC(x, z) Q(x, y, z) RP: Corr(B(x: y) || C(x: z), P, Q) (x) Доказательство RP. Пусть P(x) истинно. Следует доказать тотальность L(B(x: y) || C(x: z)) и выводимость постусловия Q(x, y, z) из L(B(x: y) || C(x: z)). Формула L(B(x: y) || C(x: z)) эквивалентна L(B(x: y)) & L(C(x: z)). Из истинности P(x) и RP. 3 следует истинность PB(x) и PC(x). Далее, из корректности операторов B(x: y) и C(x: z) следует истинность формул y. L(B(x: y)) и z. L(C(x: z)). Их конъюнкция определяет тотальность L(B(x: y) || C(x: z)).