10
|
1
|
|
2
|
|
3
|
|
4
|
|
5
|
|
6 <!DOCTYPE html>
|
|
7 <html>
|
|
8 <head>
|
|
9 <meta http-equiv="content-type" content="text/html;charset=utf-8">
|
|
10 <title>GearsOS の Hoare triple を用いた検証</title>
|
|
11
|
|
12 <meta name="generator" content="Slide Show (S9) v4.0.1 on Ruby 2.4.1 (2017-03-22) [x86_64-darwin16]">
|
|
13 <meta name="author" content="Masataka Hokama" >
|
|
14
|
|
15 <!-- style sheet links -->
|
|
16 <link rel="stylesheet" href="s6/themes/projection.css" media="screen,projection">
|
|
17 <link rel="stylesheet" href="s6/themes/screen.css" media="screen">
|
|
18 <link rel="stylesheet" href="s6/themes/print.css" media="print">
|
|
19 <link rel="stylesheet" href="s6/themes/blank.css" media="screen,projection">
|
|
20
|
|
21 <!-- JS -->
|
|
22 <script src="s6/js/jquery-1.11.3.min.js"></script>
|
|
23 <script src="s6/js/jquery.slideshow.js"></script>
|
|
24 <script src="s6/js/jquery.slideshow.counter.js"></script>
|
|
25 <script src="s6/js/jquery.slideshow.controls.js"></script>
|
|
26 <script src="s6/js/jquery.slideshow.footer.js"></script>
|
|
27 <script src="s6/js/jquery.slideshow.autoplay.js"></script>
|
|
28
|
|
29 <!-- prettify -->
|
|
30 <link rel="stylesheet" href="scripts/prettify.css">
|
|
31 <script src="scripts/prettify.js"></script>
|
|
32
|
|
33 <script>
|
|
34 $(document).ready( function() {
|
|
35 Slideshow.init();
|
|
36
|
|
37 $('code').each(function(_, el) {
|
|
38 if (!el.classList.contains('noprettyprint')) {
|
|
39 el.classList.add('prettyprint');
|
|
40 }
|
|
41 });
|
|
42 prettyPrint();
|
|
43 } );
|
|
44
|
|
45 </script>
|
|
46
|
|
47 <!-- Better Browser Banner for Microsoft Internet Explorer (IE) -->
|
|
48 <!--[if IE]>
|
|
49 <script src="s6/js/jquery.microsoft.js"></script>
|
|
50 <![endif]-->
|
|
51
|
|
52
|
|
53
|
|
54 </head>
|
|
55 <body>
|
|
56
|
|
57 <div class="layout">
|
|
58 <div id="header"></div>
|
|
59 <div id="footer">
|
|
60 <div align="right">
|
|
61 <img src="s6/images/logo.svg" width="200px">
|
|
62 </div>
|
|
63 </div>
|
|
64 </div>
|
|
65
|
|
66 <div class="presentation">
|
|
67
|
|
68 <div class='slide cover'>
|
|
69 <table width="90%" height="90%" border="0" align="center">
|
|
70 <tr>
|
|
71 <td>
|
|
72 <div align="center">
|
|
73 <h1><font color="#808db5">GearsOS の Hoare triple を用いた検証</font></h1>
|
|
74 </div>
|
|
75 </td>
|
|
76 </tr>
|
|
77 <tr>
|
|
78 <td>
|
|
79 <div align="left">
|
|
80 Masataka Hokama
|
|
81 琉球大学 : 並列信頼研究室
|
|
82 <hr style="color:#ffcc00;background-color:#ffcc00;text-align:left;border:none;width:100%;height:0.2em;">
|
|
83 </div>
|
|
84 </td>
|
|
85 </tr>
|
|
86 </table>
|
|
87 </div>
|
|
88
|
|
89
|
|
90
|
|
91 <div class='slide'>
|
|
92 <!-- 発表20分、質疑応答5分 -->
|
|
93
|
|
94
|
|
95 <!-- _S9SLIDE_ -->
|
11
|
96 <h2 id="研究背景">研究背景</h2>
|
10
|
97 <ul>
|
11
|
98 <li>OS やアプリケーションなどの信頼性は重要な課題</li>
|
|
99 <li>信頼性を上げるために仕様を検証する必要</li>
|
|
100 <li>仕様検証の手法として Floyd-Hoare Logic (以下 HoareLogic) がある
|
10
|
101 <ul>
|
11
|
102 <li>事前条件(PreCondition)が成り立つとき、関数(Command)を実行、それが停止したとき、事後条件(PostCondition)を満たす</li>
|
10
|
103 </ul>
|
|
104 </li>
|
11
|
105 <li>既存の言語ではあまり利用されていない(python の pyrefine ってコードチェッカーくらい…?)</li>
|
|
106 </ul>
|
|
107
|
|
108
|
|
109
|
|
110 </div>
|
|
111
|
|
112 <div class='slide'>
|
|
113 <!-- _S9SLIDE_ -->
|
|
114 <h2 id="背景">背景</h2>
|
|
115 <ul>
|
|
116 <li>当研究室では 処理の単位を <strong>CodeGear</strong>、データの単位を <strong>DataGear</strong> としてプログラムを記述する手法を提案</li>
|
|
117 <li>CodeGear は Input DataGear を受け取り、処理を行って Output DataGear に書き込む</li>
|
|
118 <li>Gear 間の接続処理はメタ計算として定義
|
10
|
119 <ul>
|
11
|
120 <li>メタ計算部分に検証を埋め込むことで通常処理に手を加えずに検証</li>
|
10
|
121 </ul>
|
|
122 </li>
|
11
|
123 <li>本研究では Gears OS の信頼性を高めるため、 Gears の単位を用いた HoareLogic ベースの検証手法を提案する</li>
|
10
|
124 </ul>
|
|
125
|
11
|
126 <p style="text-align:center;"><img src="./pic/cgdg-small.svg" alt="" width="75%" height="75%" /></p>
|
10
|
127
|
|
128
|
|
129
|
|
130 </div>
|
|
131
|
|
132 <div class='slide'>
|
|
133 <!-- _S9SLIDE_ -->
|
|
134 <h2 id="gears-について">Gears について</h2>
|
|
135 <ul>
|
|
136 <li><strong>Gears</strong> は当研究室で提案しているプログラム記述手法</li>
|
|
137 <li>計算の単位を <strong>CodeGear</strong> 、データの単位を <strong>DataGear</strong></li>
|
|
138 <li>CodeGear は引数として Input の DataGear を受け取り、 Output の DataGear を返す</li>
|
|
139 <li>Output の DataGear は次の CodeGear の Input として接続される
|
|
140 <!-- [fig1](file://./fig/cgdg.pdf) --></li>
|
|
141 <li>CodeGear の接続処理は通常の計算とは異なるメタ計算として定義
|
|
142 <ul>
|
|
143 <li>メタ計算で信頼性の検証を行う</li>
|
|
144 </ul>
|
|
145 </li>
|
|
146 </ul>
|
|
147
|
11
|
148 <!-- ![cgdg](./pic/codeGear_dataGear.pdf){} -->
|
|
149 <p style="text-align:center;"><img src="./pic/cgdg.svg" alt="" width="30%" height="30%" /></p>
|
|
150
|
10
|
151
|
|
152
|
|
153 </div>
|
|
154
|
|
155 <div class='slide'>
|
|
156 <!-- _S9SLIDE_ -->
|
|
157 <h2 id="cbc-について">CbC について</h2>
|
|
158 <ul>
|
|
159 <li>Gears の単位でプログラミングできる言語として CbC (Continuation based C) が存在</li>
|
|
160 <li>現在の CbC では assert での検証ができる</li>
|
|
161 <li>将来的には証明も扱えるようにしたいが現段階では未実装</li>
|
11
|
162 <li>そのため Gears の単位を定理証明支援系の言語である <strong>Agda</strong> で記述し、 Agda 上で証明</li>
|
10
|
163 </ul>
|
|
164
|
|
165
|
|
166
|
|
167 </div>
|
|
168
|
|
169 <div class='slide'>
|
|
170 <!-- _S9SLIDE_ -->
|
|
171 <h2 id="agda">Agda</h2>
|
|
172 <ul>
|
|
173 <li>Agda は定理証明支援系の言語</li>
|
|
174 <li>依存型を持つ関数型言語</li>
|
|
175 <li>型を明記する必要がある</li>
|
|
176 <li>Agda の文法については次のスライドから軽く説明する</li>
|
|
177 </ul>
|
|
178
|
|
179
|
|
180
|
|
181 </div>
|
|
182
|
|
183 <div class='slide'>
|
|
184 <!-- _S9SLIDE_ -->
|
|
185 <h2 id="agda-のデータ型">Agda のデータ型</h2>
|
|
186 <ul>
|
|
187 <li>データ型は代数的なデータ構造</li>
|
|
188 <li><strong>data</strong> キーワードの後に、<strong>名前 : 型</strong>、 where 句</li>
|
|
189 <li>次の行以降は<strong>コンストラクタ名 : 型</strong></li>
|
11
|
190 <li>型は<strong>-></strong>または<strong>→</strong>で繋げる</li>
|
|
191 <li>例えば、型<strong>PrimComm -> Comm</strong>は<strong>PrimComm</strong> を受け取り<strong>Comm</strong>を返す型</li>
|
|
192 <li>再帰的な定義も可能
|
|
193 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
10
|
194 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> data Comm : Set where
|
|
195 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> Skip : Comm
|
|
196 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> Abort : Comm
|
|
197 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> PComm : PrimComm -> Comm
|
|
198 <span class="line-numbers"><a href="#n5" name="n5">5</a></span> Seq : Comm -> Comm -> Comm
|
|
199 <span class="line-numbers"><a href="#n6" name="n6">6</a></span> If : Cond -> Comm -> Comm -> Comm
|
|
200 <span class="line-numbers"><a href="#n7" name="n7">7</a></span> While : Cond -> Comm -> Comm
|
|
201 </pre></div>
|
|
202 </div>
|
11
|
203 </div>
|
|
204 </li>
|
|
205 </ul>
|
10
|
206
|
|
207 <!-- - where は宣言した部分に束縛する -->
|
|
208
|
|
209
|
|
210
|
|
211 </div>
|
|
212
|
|
213 <div class='slide'>
|
|
214 <!-- _S9SLIDE_ -->
|
|
215 <h2 id="agda-のレコード型">Agda のレコード型</h2>
|
|
216 <ul>
|
|
217 <li>C 言語での構造体に近い</li>
|
11
|
218 <li>複数のデータをまとめる</li>
|
10
|
219 <li>関数内で構築できる</li>
|
|
220 <li>構築時は<strong>レコード名 {フィールド名 = 値}</strong></li>
|
11
|
221 <li>複数ある場合は <strong>{フィールド1 = 1 ; フィールド2 = 2}</strong>のように <strong>;</strong> を使って列挙
|
|
222 <ul>
|
|
223 <li>(varn,vari の型 <strong>ℕ</strong> は Agda 上の 自然数、 データ型で zero : ℕ と succ : ℕ -> ℕ で定義されてる)
|
|
224 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
225 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>record Env : Set where
|
|
226 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> field
|
|
227 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> varn : ℕ
|
|
228 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> vari : ℕ
|
10
|
229 </pre></div>
|
|
230 </div>
|
11
|
231 </div>
|
|
232 </li>
|
|
233 </ul>
|
|
234 </li>
|
|
235 </ul>
|
10
|
236
|
|
237
|
|
238
|
|
239 </div>
|
|
240
|
|
241 <div class='slide'>
|
|
242 <!-- _S9SLIDE_ -->
|
|
243 <h2 id="agda-の関数">Agda の関数</h2>
|
|
244 <ul>
|
|
245 <li>関数にも型が必要</li>
|
|
246 <li>関数は <strong>関数名 = 値</strong></li>
|
|
247 <li>関数ではパターンマッチがかける</li>
|
11
|
248 <li><strong>_</strong> は任意の引数
|
|
249 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
250 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> _-_ : ℕ → ℕ → ℕ
|
|
251 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> x - zero = x
|
|
252 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> zero - _ = zero
|
|
253 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> (suc x) - (suc y) = x - y
|
10
|
254 </pre></div>
|
|
255 </div>
|
11
|
256 </div>
|
|
257 </li>
|
|
258 </ul>
|
10
|
259
|
|
260
|
|
261
|
|
262 </div>
|
|
263
|
|
264 <div class='slide'>
|
|
265 <!-- _S9SLIDE_ -->
|
|
266 <h2 id="agda-での証明">Agda での証明</h2>
|
|
267 <ul>
|
|
268 <li>関数の型に論理式</li>
|
|
269 <li>関数自体にそれを満たす導出</li>
|
|
270 <li>完成した関数は証明</li>
|
|
271 <li><strong>{}</strong> は暗黙的(推論される)</li>
|
11
|
272 <li>下のコードは自然数に 0 を足したとき値が変わらないことの証明
|
|
273 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
274 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> +zero : { y : ℕ } → y + zero ≡ y
|
|
275 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> +zero {zero} = refl
|
|
276 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> +zero {suc y} = cong ( λ x → suc x ) ( +zero {y} )
|
10
|
277 </pre></div>
|
|
278 </div>
|
11
|
279 </div>
|
|
280 </li>
|
|
281 </ul>
|
10
|
282
|
|
283
|
|
284
|
|
285 </div>
|
|
286
|
|
287 <div class='slide'>
|
|
288 <!-- _S9SLIDE_ -->
|
|
289 <h2 id="agda-上での-hoarelogic">Agda 上での HoareLogic</h2>
|
|
290 <ul>
|
|
291 <li>現在 Agda での HoareLogic は初期のAgda の実装である Agda1(現在のものはAgda2)で実装されたものと
|
|
292 それを Agda2 に書き写したものが存在している。</li>
|
|
293 <li>今回はAgda2側の HoareLogic で使うコマンド定義の一部と、コマンドの証明に使うルールを借りて説明を行う。</li>
|
|
294 </ul>
|
|
295
|
|
296
|
|
297
|
|
298 </div>
|
|
299
|
|
300 <div class='slide'>
|
|
301 <!-- _S9SLIDE_ -->
|
|
302 <h2 id="agda-での-hoarelogic-の理解">Agda での HoareLogic の理解</h2>
|
|
303 <ul>
|
11
|
304 <li>HoareLogic を用いて次のようなプログラム(while Program)を検証した。
|
|
305 <div class="language-C highlighter-coderay"><div class="CodeRay">
|
10
|
306 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> n = <span style="color:#00D">10</span>;
|
|
307 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> i = <span style="color:#00D">0</span>;
|
|
308 <span class="line-numbers"><a href="#n3" name="n3">3</a></span>
|
|
309 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> <span style="color:#080;font-weight:bold">while</span> (n><span style="color:#00D">0</span>)
|
|
310 <span class="line-numbers"><a href="#n5" name="n5">5</a></span> {
|
|
311 <span class="line-numbers"><a href="#n6" name="n6">6</a></span> i++;
|
|
312 <span class="line-numbers"><a href="#n7" name="n7">7</a></span> n--;
|
|
313 <span class="line-numbers"><a href="#n8" name="n8">8</a></span> }
|
|
314 </pre></div>
|
|
315 </div>
|
11
|
316 </div>
|
|
317 </li>
|
10
|
318 <li>このプログラムは変数iとnをもち、 n>0 の間nの値を減らし、i の値を増やす</li>
|
|
319 <li>n==0のとき停止するため、終了時の変数の結果はi==10、n==0 になるはずである。</li>
|
|
320 </ul>
|
|
321
|
|
322
|
|
323
|
|
324 </div>
|
|
325
|
|
326 <div class='slide'>
|
|
327 <!-- _S9SLIDE_ -->
|
|
328 <h2 id="hoarelogic">HoareLogic</h2>
|
|
329 <ul>
|
|
330 <li>Floyd-Hoare Logic (以下HoareLogic)は部分的な正当性を検証する</li>
|
|
331 <li>プログラムは事前条件(Pre Condition)、事後条件(Post Condition)を持ち、条件がコマンドで更新され、事後条件になる</li>
|
|
332 <li>事前、事後条件には変数や論理式、コマンドには代入や、繰り返し、条件分岐などがある。</li>
|
|
333 <li>コマンドが正しく成り立つことを保証することで、このコマンドを用いて記述されたプログラムの部分的な正しさを検証する</li>
|
|
334 </ul>
|
|
335
|
|
336
|
|
337
|
|
338 </div>
|
|
339
|
|
340 <div class='slide'>
|
|
341 <!-- _S9SLIDE_ -->
|
|
342 <h2 id="agda-上での-hoarelogicコマンド定義">Agda 上での HoareLogic(コマンド定義)</h2>
|
|
343 <ul>
|
|
344 <li>Env は while Program の変数である var n, i</li>
|
|
345 <li><strong>PrimComm</strong> は代入時に使用される</li>
|
11
|
346 <li><strong>Cond</strong> は Condition で Env を受け取って Boolean の値を返す
|
|
347 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
10
|
348 <div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span> record Env : Set where
|
|
349 <span class="line-numbers"> <a href="#n2" name="n2">2</a></span> field
|
|
350 <span class="line-numbers"> <a href="#n3" name="n3">3</a></span> varn : ℕ
|
|
351 <span class="line-numbers"> <a href="#n4" name="n4">4</a></span> vari : ℕ
|
|
352 <span class="line-numbers"> <a href="#n5" name="n5">5</a></span>
|
|
353 <span class="line-numbers"> <a href="#n6" name="n6">6</a></span> PrimComm : Set
|
|
354 <span class="line-numbers"> <a href="#n7" name="n7">7</a></span> PrimComm = Env → Env
|
|
355 <span class="line-numbers"> <a href="#n8" name="n8">8</a></span>
|
|
356 <span class="line-numbers"> <a href="#n9" name="n9">9</a></span> Cond : Set
|
|
357 <span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span> Cond = (Env → Bool)
|
|
358 </pre></div>
|
|
359 </div>
|
11
|
360 </div>
|
|
361 </li>
|
|
362 </ul>
|
10
|
363
|
|
364
|
|
365
|
|
366 </div>
|
|
367
|
|
368 <div class='slide'>
|
|
369 <!-- _S9SLIDE_ -->
|
|
370 <h2 id="agda-上での-hoarelogicコマンド定義-1">Agda 上での HoareLogic(コマンド定義)</h2>
|
|
371 <ul>
|
|
372 <li><strong>Comm</strong> は Agda のデータ型で定義した HoareLogic の Command
|
|
373 <ul>
|
|
374 <li><strong>Skip</strong> は何も変更しない</li>
|
|
375 <li><strong>PComm</strong> は変数を代入する</li>
|
11
|
376 <li><strong>Seq</strong> は Command を実行して次の Command に移す</li>
|
10
|
377 <li><strong>If</strong> は Cond と2つの Comm を受け取り Cond の状態により実行する Comm を変える</li>
|
11
|
378 <li><strong>while</strong> は Cond と Comm を受け取り Cond の中身が真である間 Comm を繰り返す
|
|
379 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
380 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>data Comm : Set where
|
|
381 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> Skip : Comm
|
|
382 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> Abort : Comm
|
|
383 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> PComm : PrimComm -> Comm
|
|
384 <span class="line-numbers"><a href="#n5" name="n5">5</a></span> Seq : Comm -> Comm -> Comm
|
|
385 <span class="line-numbers"><a href="#n6" name="n6">6</a></span> If : Cond -> Comm -> Comm -> Comm
|
|
386 <span class="line-numbers"><a href="#n7" name="n7">7</a></span> While : Cond -> Comm -> Comm
|
|
387 </pre></div>
|
|
388 </div>
|
|
389 </div>
|
|
390 </li>
|
10
|
391 </ul>
|
|
392 </li>
|
|
393 </ul>
|
|
394
|
|
395
|
|
396
|
|
397 </div>
|
|
398
|
|
399 <div class='slide'>
|
|
400 <!-- _S9SLIDE_ -->
|
|
401 <h2 id="agda-上での-hoarelogic実際のプログラムの記述">Agda 上での HoareLogic(実際のプログラムの記述)</h2>
|
|
402 <ul>
|
11
|
403 <li>Command を使って while Program を記述した。</li>
|
|
404 <li><strong>$</strong> は <strong>()</strong> の糖衣で行頭から行末までを ( ) で囲う
|
|
405 <ul>
|
|
406 <li>見やすさのため改行しているため 3~7 行はまとまっている</li>
|
|
407 </ul>
|
|
408 </li>
|
|
409 <li>Seq は Comm を2つ取って次の Comm に移行する
|
|
410 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
10
|
411 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> program : Comm
|
|
412 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> program =
|
|
413 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> Seq ( PComm (λ env → record env {varn = 10}))
|
|
414 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> $ Seq ( PComm (λ env → record env {vari = 0}))
|
|
415 <span class="line-numbers"><a href="#n5" name="n5">5</a></span> $ While (λ env → lt zero (varn env ) )
|
|
416 <span class="line-numbers"><a href="#n6" name="n6">6</a></span> (Seq (PComm (λ env → record env {vari = ((vari env) + 1)} ))
|
|
417 <span class="line-numbers"><a href="#n7" name="n7">7</a></span> $ PComm (λ env → record env {varn = ((varn env) - 1)} ))
|
|
418 </pre></div>
|
|
419 </div>
|
11
|
420 </div>
|
|
421 </li>
|
|
422 </ul>
|
10
|
423
|
|
424
|
|
425
|
|
426 </div>
|
|
427
|
|
428 <div class='slide'>
|
|
429 <!-- _S9SLIDE_ -->
|
|
430 <h2 id="agda-上での-hoarelogicの理解">Agda 上での HoareLogicの理解</h2>
|
|
431 <ul>
|
11
|
432 <li>規則は HTProof にまとめられてる</li>
|
|
433 <li><strong>PrimRule</strong> は <strong>PComm</strong> で行う代入を保証する</li>
|
|
434 <li>3行目の pr の型 Axiom は PreCondition に PrimComm が適用されると PostCondition になることの記述
|
|
435 <ul>
|
|
436 <li><strong><em>⇒</em></strong> は pre, post の Condition をとって post の Condition が成り立つときに True を返す関数</li>
|
|
437 </ul>
|
|
438 </li>
|
|
439 <li>SkipRule は PreCondition を変更しないことの保証</li>
|
|
440 <li>AbortRule は プログラムが停止するときのルール
|
|
441 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
10
|
442 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> data HTProof : Cond -> Comm -> Cond -> Set where
|
|
443 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> PrimRule : {bPre : Cond} -> {pcm : PrimComm} -> {bPost : Cond} ->
|
11
|
444 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> (pr : Axiom bPre pcm bPost) ->
|
|
445 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> HTProof bPre (PComm pcm) bPost
|
10
|
446 <span class="line-numbers"><a href="#n5" name="n5">5</a></span> SkipRule : (b : Cond) -> HTProof b Skip b
|
|
447 <span class="line-numbers"><a href="#n6" name="n6">6</a></span> AbortRule : (bPre : Cond) -> (bPost : Cond) ->
|
11
|
448 <span class="line-numbers"><a href="#n7" name="n7">7</a></span> HTProof bPre Abort bPost
|
10
|
449 <span class="line-numbers"><a href="#n8" name="n8">8</a></span>-- 次のスライドに続く
|
|
450 </pre></div>
|
|
451 </div>
|
11
|
452 </div>
|
|
453 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
454 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> Axiom : Cond -> PrimComm -> Cond -> Set
|
|
455 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> Axiom pre comm post = ∀ (env : Env) → (pre env) ⇒ ( post (comm env)) ≡ true
|
|
456 </pre></div>
|
10
|
457 </div>
|
11
|
458 </div>
|
|
459 </li>
|
|
460 </ul>
|
10
|
461
|
|
462
|
|
463
|
|
464 </div>
|
|
465
|
|
466 <div class='slide'>
|
|
467 <!-- _S9SLIDE_ -->
|
|
468 <h2 id="agda-上での-hoarelogicの理解-1">Agda 上での HoareLogicの理解</h2>
|
|
469 <ul>
|
11
|
470 <li><strong>SeqRule</strong> は Command を推移させる Seq の保証</li>
|
|
471 <li><strong>IfRule</strong> は If の Command が正しく動くことを保証
|
|
472 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
473 <div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>-- HTProof の続き
|
|
474 <span class="line-numbers"> <a href="#n2" name="n2">2</a></span> SeqRule : {bPre : Cond} -> {cm1 : Comm} -> {bMid : Cond} ->
|
|
475 <span class="line-numbers"> <a href="#n3" name="n3">3</a></span> {cm2 : Comm} -> {bPost : Cond} ->
|
|
476 <span class="line-numbers"> <a href="#n4" name="n4">4</a></span> HTProof bPre cm1 bMid ->
|
|
477 <span class="line-numbers"> <a href="#n5" name="n5">5</a></span> HTProof bMid cm2 bPost ->
|
|
478 <span class="line-numbers"> <a href="#n6" name="n6">6</a></span> HTProof bPre (Seq cm1 cm2) bPost
|
|
479 <span class="line-numbers"> <a href="#n7" name="n7">7</a></span> IfRule : {cmThen : Comm} -> {cmElse : Comm} ->
|
|
480 <span class="line-numbers"> <a href="#n8" name="n8">8</a></span> {bPre : Cond} -> {bPost : Cond} ->
|
|
481 <span class="line-numbers"> <a href="#n9" name="n9">9</a></span> {b : Cond} ->
|
|
482 <span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span> HTProof (bPre /\ b) cmThen bPost ->
|
|
483 <span class="line-numbers"><a href="#n11" name="n11">11</a></span> HTProof (bPre /\ neg b) cmElse bPost ->
|
|
484 <span class="line-numbers"><a href="#n12" name="n12">12</a></span> HTProof bPre (If b cmThen cmElse) bPost
|
|
485 </pre></div>
|
|
486 </div>
|
|
487 </div>
|
|
488 </li>
|
10
|
489 </ul>
|
|
490
|
11
|
491
|
|
492
|
|
493 </div>
|
|
494
|
|
495 <div class='slide'>
|
|
496 <!-- _S9SLIDE_ -->
|
|
497 <h2 id="agda-上での-hoarelogicの理解-2">Agda 上での HoareLogicの理解</h2>
|
|
498 <ul>
|
|
499 <li><strong>WeakeningRule</strong> は通常の Condition からループ不変条件(Loop Invaliant)に変換</li>
|
|
500 <li>Tautology は Condition と不変条件が等しく成り立つ</li>
|
|
501 <li><strong>WhileRule</strong> はループ不変条件が成り立つ間 Comm を繰り返す
|
|
502 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
10
|
503 <div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>-- HTProof の続き
|
|
504 <span class="line-numbers"> <a href="#n2" name="n2">2</a></span> WeakeningRule : {bPre : Cond} -> {bPre' : Cond} -> {cm : Comm} ->
|
|
505 <span class="line-numbers"> <a href="#n3" name="n3">3</a></span> {bPost' : Cond} -> {bPost : Cond} ->
|
|
506 <span class="line-numbers"> <a href="#n4" name="n4">4</a></span> Tautology bPre bPre' ->
|
|
507 <span class="line-numbers"> <a href="#n5" name="n5">5</a></span> HTProof bPre' cm bPost' ->
|
|
508 <span class="line-numbers"> <a href="#n6" name="n6">6</a></span> Tautology bPost' bPost ->
|
|
509 <span class="line-numbers"> <a href="#n7" name="n7">7</a></span> HTProof bPre cm bPost
|
11
|
510 <span class="line-numbers"> <a href="#n8" name="n8">8</a></span> WhileRule : {cm : Comm} -> {bInv : Cond} -> {b : Cond} ->
|
|
511 <span class="line-numbers"> <a href="#n9" name="n9">9</a></span> HTProof (bInv /\ b) cm bInv ->
|
|
512 <span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span> HTProof bInv (While b cm) (bInv /\ neg b)
|
10
|
513 </pre></div>
|
|
514 </div>
|
11
|
515 </div>
|
|
516 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
517 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> Tautology : Cond -> Cond -> Set
|
|
518 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> Tautology pre post = ∀ (env : Env) → (pre env) ⇒ (post env) ≡ true
|
|
519 </pre></div>
|
10
|
520 </div>
|
11
|
521 </div>
|
|
522 </li>
|
|
523 </ul>
|
10
|
524
|
|
525
|
|
526
|
|
527 </div>
|
|
528
|
|
529 <div class='slide'>
|
|
530 <!-- _S9SLIDE_ -->
|
|
531 <h2 id="agda-上での-hoarelogic証明">Agda 上での HoareLogic(証明)</h2>
|
11
|
532 <ul>
|
|
533 <li><strong>proof1</strong> は while Program の証明</li>
|
|
534 <li>HTProof に 初期状態とコマンドで書かれた <strong>program</strong> と終了状態を渡す</li>
|
|
535 <li>lemma1~5は rule それぞれの証明</li>
|
|
536 <li>
|
|
537 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
538 <div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>proof1 : HTProof initCond program termCond
|
|
539 <span class="line-numbers"> <a href="#n2" name="n2">2</a></span>proof1 =
|
|
540 <span class="line-numbers"> <a href="#n3" name="n3">3</a></span> SeqRule {λ e → true} ( PrimRule empty-case )
|
|
541 <span class="line-numbers"> <a href="#n4" name="n4">4</a></span> $ SeqRule {λ e → Equal (varn e) 10} ( PrimRule lemma1 )
|
|
542 <span class="line-numbers"> <a href="#n5" name="n5">5</a></span> $ WeakeningRule {λ e → (Equal (varn e) 10) ∧ (Equal (vari e) 0)} lemma2 (
|
|
543 <span class="line-numbers"> <a href="#n6" name="n6">6</a></span> WhileRule {_} {λ e → Equal ((varn e) + (vari e)) 10}
|
|
544 <span class="line-numbers"> <a href="#n7" name="n7">7</a></span> $ SeqRule (PrimRule {λ e → whileInv e ∧ lt zero (varn e) } lemma3 )
|
|
545 <span class="line-numbers"> <a href="#n8" name="n8">8</a></span> $ PrimRule {whileInv'} {_} {whileInv} lemma4 ) lemma5
|
|
546 <span class="line-numbers"> <a href="#n9" name="n9">9</a></span>
|
|
547 <span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>initCond : Cond
|
|
548 <span class="line-numbers"><a href="#n11" name="n11">11</a></span>initCond env = true
|
|
549 <span class="line-numbers"><a href="#n12" name="n12">12</a></span>
|
|
550 <span class="line-numbers"><a href="#n13" name="n13">13</a></span>termCond : {c10 : ℕ} → Cond
|
|
551 <span class="line-numbers"><a href="#n14" name="n14">14</a></span>termCond {c10} env = Equal (vari env) c10
|
10
|
552 </pre></div>
|
|
553 </div>
|
11
|
554 </div>
|
|
555 </li>
|
|
556 </ul>
|
|
557
|
|
558 <p><!-- program : Comm -->
|
|
559 <!-- program = -->
|
|
560 <!-- Seq ( PComm (λ env → record env {varn = 10})) -->
|
|
561 <!-- $ Seq ( PComm (λ env → record env {vari = 0})) -->
|
|
562 <!-- $ While (λ env → lt zero (varn env ) ) -->
|
|
563 <!-- (Seq (PComm (λ env → record env {vari = ((vari env) + 1)} )) -->
|
|
564 <!-- $ PComm (λ env → record env {varn = ((varn env) - 1)} )) --></p>
|
|
565
|
|
566
|
|
567
|
10
|
568 </div>
|
|
569
|
11
|
570 <div class='slide'>
|
|
571 <!-- _S9SLIDE_ -->
|
|
572 <h2 id="証明の一部">証明の一部</h2>
|
|
573 <ul>
|
|
574 <li>型だけ載せる</li>
|
|
575 <li>基本的な証明方法は Condtition を変化させて次の Condition が成り立つように変形する</li>
|
|
576 <li>impl⇒
|
|
577 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
578 <div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span> lemma1 : {c10 : ℕ} → Axiom (stmt1Cond {c10}) (λ env → record { varn = varn env ; vari = 0 }) (stmt2Cond {c10})
|
|
579 <span class="line-numbers"> <a href="#n2" name="n2">2</a></span> lemma1 {c10} env = impl⇒ ( λ cond → let open ≡-Reasoning in
|
|
580 <span class="line-numbers"> <a href="#n3" name="n3">3</a></span> begin
|
|
581 <span class="line-numbers"> <a href="#n4" name="n4">4</a></span> (Equal (varn env) c10 ) ∧ true
|
|
582 <span class="line-numbers"> <a href="#n5" name="n5">5</a></span> ≡⟨ ∧true ⟩
|
|
583 <span class="line-numbers"> <a href="#n6" name="n6">6</a></span> Equal (varn env) c10
|
|
584 <span class="line-numbers"> <a href="#n7" name="n7">7</a></span> ≡⟨ cond ⟩
|
|
585 <span class="line-numbers"> <a href="#n8" name="n8">8</a></span> true
|
|
586 <span class="line-numbers"> <a href="#n9" name="n9">9</a></span> ∎ )
|
|
587 </pre></div>
|
|
588 </div>
|
|
589 </div>
|
|
590
|
|
591 <p><!-- lemma2 : {c10 : ℕ} → Tautology stmt2Cond whileInv --></p>
|
|
592
|
|
593 <p><!-- lemma3 : Axiom (λ e → whileInv e ∧ lt zero (varn e)) (λ env → record { varn = varn env ; vari = vari env + 1 }) whileInv' --></p>
|
|
594
|
|
595 <p><!-- lemma4 : {c10 : ℕ} → Axiom whileInv' (λ env → record { varn = varn env - 1 ; vari = vari env }) whileInv --></p>
|
|
596
|
|
597 <p><!-- lemma5 : {c10 : ℕ} → Tautology ((λ e → Equal (varn e + vari e) c10) and (neg (λ z → lt zero (varn z)))) termCond --></p>
|
|
598 </li>
|
|
599 </ul>
|
|
600
|
10
|
601
|
|
602
|
|
603 </div>
|
|
604
|
|
605 <div class='slide'>
|
|
606 <!-- _S9SLIDE_ -->
|
|
607 <h2 id="agda-での-gears">Agda での Gears</h2>
|
|
608 <ul>
|
|
609 <li>Agda での CodeGear は通常の関数とは異なり、継続渡し (CPS : Continuation Passing Style) で記述された関数</li>
|
|
610 <li>CPS の関数は引数として継続を受け取って継続に計算結果を渡す</li>
|
|
611 <li><strong>名前 : 引数 -> (Code : fa -> t) -> t</strong></li>
|
|
612 <li><strong>t</strong> は継続</li>
|
|
613 <li><strong>(Code : fa -> t)</strong> は次の継続先</li>
|
11
|
614 <li>DataGear は Agda での CodeGear に使われる引数
|
|
615 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
616 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>_g-_ : {t : Set} → ℕ → ℕ → (Code : ℕ → t) → t
|
|
617 <span class="line-numbers"><a href="#n2" name="n2">2</a></span>x g- zero next = next x
|
|
618 <span class="line-numbers"><a href="#n3" name="n3">3</a></span>zero g- _ = next zero
|
|
619 <span class="line-numbers"><a href="#n4" name="n4">4</a></span>(suc x) g- (suc y) = next (x g- y)
|
|
620 </pre></div>
|
|
621 </div>
|
|
622 </div>
|
|
623 </li>
|
10
|
624 </ul>
|
|
625
|
|
626
|
|
627
|
|
628 </div>
|
|
629
|
|
630 <div class='slide'>
|
|
631 <!-- _S9SLIDE_ -->
|
|
632 <h2 id="gears-をベースにした-hoarelogic">Gears をベースにした HoareLogic</h2>
|
|
633 <ul>
|
|
634 <li>次に Gears をベースにした while Program をみる。</li>
|
11
|
635 <li>このプログラムは自然数と継続先を受け取って t を返す
|
|
636 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
637 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> {-# TERMINATING #-}
|
|
638 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> whileLoop : {l : Level} {t : Set l} -> Env -> (Code : Env -> t) -> t
|
|
639 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> whileLoop env next with lt 0 (varn env)
|
|
640 <span class="line-numbers"><a href="#n4" name="n4">4</a></span> whileLoop env next | false = next env
|
|
641 <span class="line-numbers"><a href="#n5" name="n5">5</a></span> whileLoop env next | true =
|
|
642 <span class="line-numbers"><a href="#n6" name="n6">6</a></span> whileLoop (record {varn = (varn env) - 1 ; vari = (vari env) + 1}) next
|
10
|
643 </pre></div>
|
|
644 </div>
|
11
|
645 </div>
|
|
646 </li>
|
|
647 </ul>
|
10
|
648
|
|
649
|
|
650
|
|
651 </div>
|
|
652
|
|
653 <div class='slide'>
|
|
654 <!-- _S9SLIDE_ -->
|
|
655 <h2 id="gears-と-hoarelogic-をベースにした証明">Gears と HoareLogic をベースにした証明</h2>
|
|
656 <ul>
|
11
|
657 <li>ここでは
|
|
658 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
|
|
659 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> proofGears : {c10 : ℕ } → Set
|
|
660 <span class="line-numbers"><a href="#n2" name="n2">2</a></span> proofGears {c10} = whileTest' {_} {_} {c10} (λ n p1 → conversion1 n p1
|
|
661 <span class="line-numbers"><a href="#n3" name="n3">3</a></span> (λ n1 p2 → whileLoop' n1 p2 (λ n2 → ( vari n2 ≡ c10 ))))
|
10
|
662 </pre></div>
|
|
663 </div>
|
11
|
664 </div>
|
|
665 </li>
|
|
666 </ul>
|
10
|
667
|
|
668 <p><–!
|
|
669 [論文目次]
|
|
670 まえがき</p>
|
|
671
|
|
672 <p>現状</p>
|
|
673
|
|
674 <p>Agda</p>
|
|
675
|
|
676 <p>GearsOS</p>
|
|
677
|
|
678 <p>CodeGear DataGear</p>
|
|
679
|
|
680 <p>Gears と Agda</p>
|
|
681
|
|
682 <p>Agda での HoareLogic</p>
|
|
683
|
|
684 <p>Gears ベースの HoareLogic</p>
|
|
685
|
|
686 <p>まとめと課題</p>
|
|
687
|
|
688 <p>–></p>
|
|
689
|
|
690 </div>
|
|
691
|
|
692
|
|
693 </div><!-- presentation -->
|
|
694 </body>
|
|
695 </html>
|