Papers/2019/ryokka-sigss: slide/slide.html comparison

comparison slide/slide.html @ 12:e8fe28afe61e

fix slide

author	ryokka
date	Tue, 15 Jan 2019 15:56:33 +0900
parents	17b7605a5deb
children	b711209123f7

comparison

equal deleted inserted replaced

-:17b7605a5deb
+:e8fe28afe61e
 <!DOCTYPE html>
 <html>
 <head>
 <meta http-equiv="content-type" content="text/html;charset=utf-8">
-<title>GearsOS の Hoare triple を用いた検証</title>
+<title>GearsOS の Hoare Logic を用いた検証</title>
 <meta name="generator" content="Slide Show (S9) v4.0.1 on Ruby 2.4.1 (2017-03-22) [x86_64-darwin16]">
 <meta name="author"    content="Masataka Hokama" >
 <!-- style sheet links -->
 <div class='slide cover'>
 <table width="90%" height="90%" border="0" align="center">
 <tr>
 <td>
 <div align="center">
-<h1><font color="#808db5">GearsOS の Hoare triple を用いた検証</font></h1>
+<h1><font color="#808db5">GearsOS の Hoare Logic を用いた検証</font></h1>
 </div>
 </td>
 </tr>
 <tr>
 <td>
 <ul>
 <li>OS やアプリケーションなどの信頼性は重要な課題</li>
 <li>信頼性を上げるために仕様を検証する必要</li>
 <li>仕様検証の手法として Floyd-Hoare Logic (以下 HoareLogic) がある
 <ul>
-<li>事前条件(PreCondition)が成り立つとき、関数(Command)を実行、それが停止したとき、事後条件(PostCondition)を満たす</li>
+<li>事前条件(Pre Condition)が成り立つとき、関数(Command)を実行、それが停止したとき、事後条件(Post Condition)を満たす</li>
 </ul>
 </li>
-<li>既存の言語ではあまり利用されていない(python の pyrefine ってコードチェッカーくらい…?)</li>
+<li>既存の言語ではあまり利用されていない</li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
 <h2 id="背景">背景</h2>
 <ul>
 <li>当研究室では 処理の単位を <strong>CodeGear</strong>、データの単位を <strong>DataGear</strong> としてプログラムを記述する手法を提案</li>
-<li>CodeGear は Input DataGear を受け取り、処理を行って Output DataGear に書き込む</li>
+<li>CodeGear は Input DataGear を受け取り、処理を行って Output DataGear に書き込む
-<li>Gear 間の接続処理はメタ計算として定義
+<!-- - Gear 間の接続処理はメタ計算として定義 -->
-<ul>
+<!--   - メタ計算部分に検証を埋め込むことで通常処理に手を加えずに検証 --></li>
-<li>メタ計算部分に検証を埋め込むことで通常処理に手を加えずに検証</li>
+<li>この単位を用いて信頼性の高い OS として GearsOS を開発している</li>
-</ul>
+<li>本発表では Gears OS の信頼性を高めるため、 Gears の単位を用いた HoareLogic ベースの検証手法を提案する</li>
-</li>
+</ul>
-<li>本研究では Gears OS の信頼性を高めるため、 Gears の単位を用いた HoareLogic ベースの検証手法を提案する</li>
-</ul>
-<p style="text-align:center;"><img src="./pic/cgdg-small.svg" alt="" width="75%" height="75%" /></p>
 </div>
 <ul>
 <li>メタ計算で信頼性の検証を行う</li>
 </ul>
 </li>
 </ul>
+<p style="text-align:center;"><img src="./pic/cgdg-small.svg" alt="" width="75%" height="75%" /></p>
 <!-- ![cgdg](./pic/codeGear_dataGear.pdf){} -->
-<p style="text-align:center;"><img src="./pic/cgdg.svg" alt="" width="30%" height="30%" /></p>
+<!-- <p style="text-align:center;"><img src="./pic/cgdg.svg" alt=""  width="30%" height="30%"/></p> -->
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
 <h2 id="cbc-について">CbC について</h2>
 <ul>
-<li>Gears の単位でプログラミングできる言語として CbC (Continuation based C) が存在</li>
+<li>Gears の単位でプログラミングできる言語として当研究室で開発している <strong>CbC</strong> (Continuation based C) が存在
-<li>現在の CbC では assert での検証ができる</li>
+<ul>
+<li>これは C からループ制御構造と関数呼び出しを取り除き、代わりに継続を導入したもの</li>
+</ul>
+</li>
+<li>現在の CbC でもメタ計算での検証は可能</li>
 <li>将来的には証明も扱えるようにしたいが現段階では未実装</li>
-<li>そのため Gears の単位を定理証明支援系の言語である <strong>Agda</strong> で記述し、 Agda 上で証明</li>
+<li>そのため Gears の単位を定理証明支援系の言語である <strong>Agda</strong> で記述し、 Agda で証明している</li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="agda">Agda</h2>
+<h2 id="agda-とは">Agda とは</h2>
 <ul>
 <li>Agda は定理証明支援系の言語</li>
 <li>依存型を持つ関数型言語</li>
 <li>型を明記する必要がある</li>
 <li>Agda の文法については次のスライドから軽く説明する</li>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
 <h2 id="agda-のデータ型">Agda のデータ型</h2>
 <ul>
 <li>データ型は代数的なデータ構造</li>
-<li><strong>data</strong> キーワードの後に、<strong>名前 : 型</strong>、 where 句</li>
+<li><strong>data</strong> キーワードの後に、<strong>名前 : 型</strong></li>
 <li>次の行以降は<strong>コンストラクタ名 : 型</strong></li>
-<li>型は<strong>-&gt;</strong>または<strong>→</strong>で繋げる</li>
+<li>型は<strong>-&gt;</strong>または<strong>→</strong>で繋げる
-<li>例えば、型<strong>PrimComm -&gt; Comm</strong>は<strong>PrimComm</strong> を受け取り<strong>Comm</strong>を返す型</li>
+<ul>
-<li>再帰的な定義も可能
+<li>例えば、suc の型<strong>Nat → Nat*は</strong>Nat** を受け取り<strong>Nat</strong>を返す型</li>
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<li>これにより 3 を suc (suc (suc zero)) のように表せる
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  data Comm : Set where
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>    Skip : Comm
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> data Nat : Set where
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>    Abort : Comm
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>   zero : Nat
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>    PComm : PrimComm -&gt; Comm
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>   suc  : Nat → Nat
-<span class="line-numbers"><a href="#n5" name="n5">5</a></span>    Seq : Comm -&gt; Comm -&gt; Comm
+</pre></div>
-<span class="line-numbers"><a href="#n6" name="n6">6</a></span>    If : Cond -&gt; Comm -&gt; Comm -&gt; Comm
+</div>
-<span class="line-numbers"><a href="#n7" name="n7">7</a></span>    While : Cond -&gt; Comm -&gt; Comm
+</div>
-</pre></div>
+</li>
-</div>
+</ul>
-</div>
 </li>
 </ul>
 <!-- - where は宣言した部分に束縛する -->
 <h2 id="agda-のレコード型">Agda のレコード型</h2>
 <ul>
 <li>C 言語での構造体に近い</li>
 <li>複数のデータをまとめる</li>
 <li>関数内で構築できる</li>
-<li>構築時は<strong>レコード名 {フィールド名 = 値}</strong></li>
+<li>構築時は<strong>record レコード名 {フィールド名 = 値}</strong></li>
-<li>複数ある場合は <strong>{フィールド1 = 1 ; フィールド2 = 2}</strong>のように <strong>;</strong> を使って列挙
+<li>複数ある場合は <strong>record Env {varn = 1 ; varn = 2}</strong>のように <strong>;</strong> を使って列挙
-<ul>
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<li>(varn,vari の型 <strong>ℕ</strong> は Agda 上の 自然数、 データ型で zero : ℕ と succ : ℕ -&gt; ℕ で定義されてる)
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> record Env : Set where
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>   field
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>     varn : Nat
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span>     vari : Nat
+</pre></div>
+</div>
+</div>
+</li>
+</ul>
+</div>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
+<h2 id="agda-の関数">Agda の関数</h2>
+<ul>
+<li>関数にも型が必要(1行目)
+<ul>
+<li>引き算はは自然数を２つ取って結果の自然数を返す</li>
+<li><strong>_</strong> は任意の値、名前で使うと受け取った引数が順番に入る</li>
+</ul>
+</li>
+<li>関数本体は <strong>関数名 = 値</strong></li>
+<li>関数ではパターンマッチがかける
+<ul>
+<li>ここでは関数名に <strong>_</strong> を使っているため<strong>Nat</strong>の定義にから zero かそれ以外でパターンマッチ
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>record Env : Set where
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> _-_ : Nat → Nat → Nat
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  field
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span> x - zero  = x
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>    varn : ℕ
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span> zero - _  = zero
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>    vari : ℕ
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span> (suc x) - (suc y)  = x - y
 </pre></div>
 </div>
 </div>
 </li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="agda-の関数">Agda の関数</h2>
-<ul>
-<li>関数にも型が必要</li>
-<li>関数は <strong>関数名 = 値</strong></li>
-<li>関数ではパターンマッチがかける</li>
-<li><strong>_</strong> は任意の引数
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  _-_ : ℕ → ℕ → ℕ
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  x - zero  = x
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>  zero - _  = zero
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>  (suc x) - (suc y)  = x - y
-</pre></div>
-</div>
-</div>
-</li>
-</ul>
-</div>
-<div class='slide'>
-<!-- _S9SLIDE_ -->
 <h2 id="agda-での証明">Agda での証明</h2>
 <ul>
-<li>関数の型に論理式</li>
+<li>関数の型に証明すべき論理式</li>
 <li>関数自体にそれを満たす導出</li>
 <li>完成した関数は証明</li>
 <li><strong>{}</strong> は暗黙的(推論される)</li>
-<li>下のコードは自然数に 0 を足したとき値が変わらないことの証明
+<li>下のコードは Bool型の x と true の and を取ったものは x と等しいことの証明
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<ul>
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  +zero : { y : ℕ } → y + zero  ≡ y
+<li><strong>refl</strong> は <strong>x == x</strong> の左右の項が等しいことの証明
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  +zero {zero} = refl
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>  +zero {suc y} = cong ( λ x → suc x ) ( +zero {y} )
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> ∧true : { x : Bool } →  x  ∧  true  ≡ x
-</pre></div>
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span> ∧true {x} with x
-</div>
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span> ∧true {x} | false = refl
-</div>
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span> ∧true {x} | true = refl
+</pre></div>
+</div>
+</div>
+</li>
+</ul>
 </li>
 </ul>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
 <h2 id="agda-上での-hoarelogic">Agda 上での HoareLogic</h2>
 <ul>
-<li>現在 Agda での HoareLogic は初期のAgda の実装である Agda1(現在のものはAgda2)で実装されたものと
+<li>Agda での HoareLogic は初期のAgda の実装である Agda1(現在のものはAgda2)で実装されたものと
 それを Agda2 に書き写したものが存在している。</li>
-<li>今回はAgda2側の HoareLogic で使うコマンド定義の一部と、コマンドの証明に使うルールを借りて説明を行う。</li>
+<li>今回はAgda2側の HoareLogic で使うコマンド定義の一部と、コマンドの証明に使うルールを借りて Agda2上で HoareLogic を構築する</li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="agda-での-hoarelogic-の理解">Agda での HoareLogic の理解</h2>
+<h2 id="hoarelogic-とは">HoareLogic とは</h2>
-<ul>
-<li>HoareLogic を用いて次のようなプログラム(while Program)を検証した。
-<div class="language-C highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  n = <span style="color:#00D">10</span>;
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  i = <span style="color:#00D">0</span>;
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>  <span style="color:#080;font-weight:bold">while</span> (n&gt;<span style="color:#00D">0</span>)
-<span class="line-numbers"><a href="#n5" name="n5">5</a></span>  {
-<span class="line-numbers"><a href="#n6" name="n6">6</a></span>    i++;
-<span class="line-numbers"><a href="#n7" name="n7">7</a></span>    n--;
-<span class="line-numbers"><a href="#n8" name="n8">8</a></span>  }
-</pre></div>
-</div>
-</div>
-</li>
-<li>このプログラムは変数iとnをもち、 n&gt;0 の間nの値を減らし、i の値を増やす</li>
-<li>n==0のとき停止するため、終了時の変数の結果はi==10、n==0 になるはずである。</li>
-</ul>
-</div>
-<div class='slide'>
-<!-- _S9SLIDE_ -->
-<h2 id="hoarelogic">HoareLogic</h2>
 <ul>
 <li>Floyd-Hoare Logic (以下HoareLogic)は部分的な正当性を検証する</li>
 <li>プログラムは事前条件(Pre Condition)、事後条件(Post Condition)を持ち、条件がコマンドで更新され、事後条件になる</li>
 <li>事前、事後条件には変数や論理式、コマンドには代入や、繰り返し、条件分岐などがある。</li>
-<li>コマンドが正しく成り立つことを保証することで、このコマンドを用いて記述されたプログラムの部分的な正しさを検証する</li>
+<li>コマンドが正しく成り立つことを保証することで、このコマンドを用いて記述されたプログラムの部分的な正しさを検証できる</li>
+</ul>
+</div>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
+<h2 id="hoarelogic-の理解">HoareLogic の理解</h2>
+<ul>
+<li>HoareLogic 例として疑似コードを用意した</li>
+<li>このプログラムは変数iとnをもち、 n&gt;0 の間nの値を減らし、i の値を増やす</li>
+<li>n==0 のとき停止するため、終了時の変数の結果は i==10、n==0 になるはずである。</li>
+<li>次のスライドから Agda 上 HoareLogic を実装し、その上でこの whileProgram の検証を行う
+<div class="language-C highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> n = <span style="color:#00D">10</span>;
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span> i = <span style="color:#00D">0</span>;
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span> <span style="color:#080;font-weight:bold">while</span> (n&gt;<span style="color:#00D">0</span>)
+<span class="line-numbers"><a href="#n5" name="n5">5</a></span> {
+<span class="line-numbers"><a href="#n6" name="n6">6</a></span>   i++;
+<span class="line-numbers"><a href="#n7" name="n7">7</a></span>   n--;
+<span class="line-numbers"><a href="#n8" name="n8">8</a></span> }
+</pre></div>
+</div>
+</div>
+</li>
+</ul>
+</div>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
+<h2 id="agda-上での-hoarelogic条件変数の定義">Agda 上での HoareLogic(条件、変数の定義)</h2>
+<ul>
+<li><strong>Env</strong> は while Program で必要な変数をまとめたもの</li>
+<li>varn、vari はそれぞれ変数 n、 i</li>
+<li><strong>Cond</strong> は Pre、Post の Condition で Env を受け取って Bool 値(true か false)を返す
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> record Env : Set where
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>   field
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>     varn : Nat
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span>     vari : Nat
+<span class="line-numbers"><a href="#n5" name="n5">5</a></span>
+<span class="line-numbers"><a href="#n6" name="n6">6</a></span> Cond : Set
+<span class="line-numbers"><a href="#n7" name="n7">7</a></span> Cond = (Env → Bool)
+</pre></div>
+</div>
+</div>
+</li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
 <h2 id="agda-上での-hoarelogicコマンド定義">Agda 上での HoareLogic(コマンド定義)</h2>
 <ul>
-<li>Env は while Program の変数である var n, i</li>
+<li><strong>Comm</strong> は Agda のデータ型で定義した HoareLogic のコマンド
-<li><strong>PrimComm</strong> は代入時に使用される</li>
+<ul>
-<li><strong>Cond</strong> は Condition で Env を受け取って Boolean の値を返す
+<li><strong>PComm</strong> は変数を代入のコマンド</li>
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<li><strong>Seq</strong> はコマンドの推移、 Command を実行して次の Command に移す</li>
-<div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>  record Env : Set where
+<li><strong>If</strong> は条件分岐のコマンド</li>
-<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>    field
+<li><strong>while</strong> は繰り返しのコマンド</li>
-<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>      varn : ℕ
+</ul>
-<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>      vari : ℕ
+</li>
-<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>
+<li>他にも何もしないコマンドやコマンドの停止などのコマンドもある</li>
-<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>  PrimComm : Set
+<li><strong>PrimComm</strong> は Env を受け取って Env を返す定義
-<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>  PrimComm = Env → Env
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>   data Comm : Set where
-<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>  Cond : Set
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>     PComm : PrimComm → Comm
-<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>  Cond = (Env → Bool)
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>     Seq   : Comm → Comm → Comm
-</pre></div>
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span>     If    : Cond → Comm → Comm → Comm
-</div>
+<span class="line-numbers"><a href="#n5" name="n5">5</a></span>     While : Cond → Comm → Comm
-</div>
+<span class="line-numbers"><a href="#n6" name="n6">6</a></span>
-</li>
+<span class="line-numbers"><a href="#n7" name="n7">7</a></span>   PrimComm : Set
-</ul>
+<span class="line-numbers"><a href="#n8" name="n8">8</a></span>   PrimComm = Env → Env
+</pre></div>
+</div>
+</div>
-</div>
+</li>
+</ul>
-<div class='slide'>
-<!-- _S9SLIDE_ -->
-<h2 id="agda-上での-hoarelogicコマンド定義-1">Agda 上での HoareLogic(コマンド定義)</h2>
-<ul>
+</div>
-<li><strong>Comm</strong> は Agda のデータ型で定義した HoareLogic の Command
-<ul>
+<div class='slide'>
-<li><strong>Skip</strong> は何も変更しない</li>
+<!-- _S9SLIDE_ -->
-<li><strong>PComm</strong> は変数を代入する</li>
+<h2 id="agda-上での-hoarelogic実際のプログラムの記述">Agda 上での HoareLogic(実際のプログラムの記述)</h2>
-<li><strong>Seq</strong> は Command を実行して次の Command に移す</li>
+<ul>
-<li><strong>If</strong> は Cond と2つの Comm を受け取り Cond の状態により実行する Comm を変える</li>
+<li>先程定義したコマンドを使って while Program を記述した
-<li><strong>while</strong> は Cond と Comm を受け取り Cond の中身が真である間 Comm を繰り返す
+<ul>
+<li>任意の自然数を引数に取る形になっているが<strong>c10 == 10</strong>ということにする</li>
+</ul>
+</li>
+<li><strong>$</strong> は <strong>()</strong> の糖衣で行頭から行末までを ( ) で囲う</li>
+<li>見やすさのため改行しているが 3~7 行は1行
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> program : ℕ → Comm
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span> program c10 =
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>    Seq ( PComm (λ env → record env {varn = c10}))                -- n = 10;
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span>    $ Seq ( PComm (λ env → record env {vari = 0}))                -- i = 0;
+<span class="line-numbers"><a href="#n5" name="n5">5</a></span>    $ While (λ env → lt zero (varn env ) )                         -- while (n&gt;0) {
+<span class="line-numbers"><a href="#n6" name="n6">6</a></span>      (Seq (PComm (λ env → record env {vari = ((vari env) + 1)} )) -- i++;
+<span class="line-numbers"><a href="#n7" name="n7">7</a></span>        $ PComm (λ env → record env {varn = ((varn env) - 1)} ))   -- n--;
+</pre></div>
+</div>
+</div>
+</li>
+</ul>
+</div>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
+<h2 id="agda-上での-hoarelogicコマンドの保証13">Agda 上での HoareLogic(コマンドの保証)1/3</h2>
+<ul>
+<li>保証の規則は HTProof にまとめられてる</li>
+<li><strong>PrimRule</strong> は <strong>PComm</strong> で行う代入を保証する</li>
+<li>3行目の pr の型 Axiom は PreCondition に PrimComm が適用されると PostCondition になることの記述
+<ul>
+<li><strong><em>⇒</em></strong> は pre, post の Condition をとって post の Condition が成り立つときに True を返す
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>data Comm : Set where
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> data HTProof : Cond → Comm → Cond → Set where
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  Skip  : Comm
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span> PrimRule : {bPre : Cond} → {pcm : PrimComm} → {bPost : Cond} →
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>  Abort : Comm
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>              (pr : Axiom bPre pcm bPost) →
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>  PComm : PrimComm -&gt; Comm
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span>              HTProof bPre (PComm pcm) bPost
-<span class="line-numbers"><a href="#n5" name="n5">5</a></span>  Seq   : Comm -&gt; Comm -&gt; Comm
+<span class="line-numbers"><a href="#n5" name="n5">5</a></span>-- 次のスライドに続く
-<span class="line-numbers"><a href="#n6" name="n6">6</a></span>  If    : Cond -&gt; Comm -&gt; Comm -&gt; Comm
+</pre></div>
-<span class="line-numbers"><a href="#n7" name="n7">7</a></span>  While : Cond -&gt; Comm -&gt; Comm
+</div>
+</div>
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> Axiom : Cond → PrimComm → Cond → Set
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span> Axiom pre comm post = ∀ (env : Env) →  (pre env) ⇒ ( post (comm env)) ≡ true
 </pre></div>
 </div>
 </div>
 </li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="agda-上での-hoarelogic実際のプログラムの記述">Agda 上での HoareLogic(実際のプログラムの記述)</h2>
+<h2 id="agda-上での-hoarelogicコマンド保証23">Agda 上での HoareLogic(コマンド保証)2/3</h2>
-<ul>
-<li>Command を使って while Program を記述した。</li>
-<li><strong>$</strong> は <strong>()</strong> の糖衣で行頭から行末までを ( ) で囲う
-<ul>
-<li>見やすさのため改行しているため 3~7 行はまとまっている</li>
-</ul>
-</li>
-<li>Seq は Comm を2つ取って次の Comm に移行する
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  program : Comm
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  program =
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>    Seq ( PComm (λ env → record env {varn = 10}))
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>    $ Seq ( PComm (λ env → record env {vari = 0}))
-<span class="line-numbers"><a href="#n5" name="n5">5</a></span>    $ While (λ env → lt zero (varn env ) )
-<span class="line-numbers"><a href="#n6" name="n6">6</a></span>      (Seq (PComm (λ env → record env {vari = ((vari env) + 1)} ))
-<span class="line-numbers"><a href="#n7" name="n7">7</a></span>        $ PComm (λ env → record env {varn = ((varn env) - 1)} ))
-</pre></div>
-</div>
-</div>
-</li>
-</ul>
-</div>
-<div class='slide'>
-<!-- _S9SLIDE_ -->
-<h2 id="agda-上での-hoarelogicの理解">Agda 上での HoareLogicの理解</h2>
-<ul>
-<li>規則は HTProof にまとめられてる</li>
-<li><strong>PrimRule</strong> は <strong>PComm</strong> で行う代入を保証する</li>
-<li>3行目の pr の型 Axiom は PreCondition に PrimComm が適用されると PostCondition になることの記述
-<ul>
-<li><strong><em>⇒</em></strong> は pre, post の Condition をとって post の Condition が成り立つときに True を返す関数</li>
-</ul>
-</li>
-<li>SkipRule は PreCondition を変更しないことの保証</li>
-<li>AbortRule は プログラムが停止するときのルール
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  data HTProof : Cond -&gt; Comm -&gt; Cond -&gt; Set where
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>    PrimRule : {bPre : Cond} -&gt; {pcm : PrimComm} -&gt; {bPost : Cond} -&gt;
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>                 (pr : Axiom bPre pcm bPost) -&gt;
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>                 HTProof bPre (PComm pcm) bPost
-<span class="line-numbers"><a href="#n5" name="n5">5</a></span>    SkipRule : (b : Cond) -&gt; HTProof b Skip b
-<span class="line-numbers"><a href="#n6" name="n6">6</a></span>    AbortRule : (bPre : Cond) -&gt; (bPost : Cond) -&gt;
-<span class="line-numbers"><a href="#n7" name="n7">7</a></span>                 HTProof bPre Abort bPost
-<span class="line-numbers"><a href="#n8" name="n8">8</a></span>-- 次のスライドに続く
-</pre></div>
-</div>
-</div>
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  Axiom : Cond -&gt; PrimComm -&gt; Cond -&gt; Set
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  Axiom pre comm post = ∀ (env : Env) →  (pre env) ⇒ ( post (comm env)) ≡ true
-</pre></div>
-</div>
-</div>
-</li>
-</ul>
-</div>
-<div class='slide'>
-<!-- _S9SLIDE_ -->
-<h2 id="agda-上での-hoarelogicの理解-1">Agda 上での HoareLogicの理解</h2>
 <ul>
 <li><strong>SeqRule</strong> は Command を推移させる Seq の保証</li>
 <li><strong>IfRule</strong> は If の Command が正しく動くことを保証
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
 <div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>-- HTProof の続き
-<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>    SeqRule : {bPre : Cond} -&gt; {cm1 : Comm} -&gt; {bMid : Cond} -&gt;
+<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>   SeqRule : {bPre : Cond} → {cm1 : Comm} → {bMid : Cond} →
-<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>            {cm2 : Comm} -&gt; {bPost : Cond} -&gt;
+<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>           {cm2 : Comm} → {bPost : Cond} →
-<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>            HTProof bPre cm1 bMid -&gt;
+<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>           HTProof bPre cm1 bMid →
-<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>            HTProof bMid cm2 bPost -&gt;
+<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>           HTProof bMid cm2 bPost →
-<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>            HTProof bPre (Seq cm1 cm2) bPost
+<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>           HTProof bPre (Seq cm1 cm2) bPost
-<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>    IfRule : {cmThen : Comm} -&gt; {cmElse : Comm} -&gt;
+<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>   IfRule : {cmThen : Comm} → {cmElse : Comm} →
-<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>           {bPre : Cond} -&gt; {bPost : Cond} -&gt;
+<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>          {bPre : Cond} → {bPost : Cond} →
-<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>           {b : Cond} -&gt;
+<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>          {b : Cond} →
-<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>           HTProof (bPre /\ b) cmThen bPost -&gt;
+<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>          HTProof (bPre /\ b) cmThen bPost →
-<span class="line-numbers"><a href="#n11" name="n11">11</a></span>           HTProof (bPre /\ neg b) cmElse bPost -&gt;
+<span class="line-numbers"><a href="#n11" name="n11">11</a></span>          HTProof (bPre /\ neg b) cmElse bPost →
-<span class="line-numbers"><a href="#n12" name="n12">12</a></span>           HTProof bPre (If b cmThen cmElse) bPost
+<span class="line-numbers"><a href="#n12" name="n12">12</a></span>          HTProof bPre (If b cmThen cmElse) bPost
 </pre></div>
 </div>
 </div>
 </li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="agda-上での-hoarelogicの理解-2">Agda 上での HoareLogicの理解</h2>
+<h2 id="agda-上での-hoarelogicコマンド保証33">Agda 上での HoareLogic(コマンド保証)3/3</h2>
 <ul>
 <li><strong>WeakeningRule</strong> は通常の Condition からループ不変条件(Loop Invaliant)に変換</li>
 <li>Tautology は Condition と不変条件が等しく成り立つ</li>
 <li><strong>WhileRule</strong> はループ不変条件が成り立つ間 Comm を繰り返す
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
 <div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>-- HTProof の続き
-<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>    WeakeningRule : {bPre : Cond} -&gt; {bPre' : Cond} -&gt; {cm : Comm} -&gt;
+<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>   WeakeningRule : {bPre : Cond} → {bPre' : Cond} → {cm : Comm} →
-<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>                {bPost' : Cond} -&gt; {bPost : Cond} -&gt;
+<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>               {bPost' : Cond} → {bPost : Cond} →
-<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>                Tautology bPre bPre' -&gt;
+<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>               Tautology bPre bPre' →
-<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>                HTProof bPre' cm bPost' -&gt;
+<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>               HTProof bPre' cm bPost' →
-<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>                Tautology bPost' bPost -&gt;
+<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>               Tautology bPost' bPost →
-<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>                HTProof bPre cm bPost
+<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>               HTProof bPre cm bPost
-<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>    WhileRule : {cm : Comm} -&gt; {bInv : Cond} -&gt; {b : Cond} -&gt;
+<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>   WhileRule : {cm : Comm} → {bInv : Cond} → {b : Cond} →
-<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>                HTProof (bInv /\ b) cm bInv -&gt;
+<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>               HTProof (bInv /\ b) cm bInv →
-<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>                HTProof bInv (While b cm) (bInv /\ neg b)
+<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>               HTProof bInv (While b cm) (bInv /\ neg b)
 </pre></div>
 </div>
 </div>
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  Tautology : Cond -&gt; Cond -&gt; Set
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span> Tautology : Cond → Cond → Set
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  Tautology pre post = ∀ (env : Env) →  (pre env) ⇒ (post env) ≡ true
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span> Tautology pre post = ∀ (env : Env) →  (pre env) ⇒ (post env) ≡ true
 </pre></div>
 </div>
 </div>
 </li>
 </ul>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
 <h2 id="agda-上での-hoarelogic証明">Agda 上での HoareLogic(証明)</h2>
 <ul>
 <li><strong>proof1</strong> は while Program の証明</li>
-<li>HTProof に 初期状態とコマンドで書かれた <strong>program</strong>  と終了状態を渡す</li>
+<li>HTProof に 初期状態と先程コマンドで記述した whileProgram である <strong>program</strong> と終了状態を渡す</li>
-<li>lemma1~5は rule それぞれの証明</li>
+<li>Condititon は initCond や termCond のようにそれぞれ定義する必要がある</li>
-<li>
+<li>program に近い形で証明を記述できる
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>proof1 : HTProof initCond program termCond
+<div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span> proof1 : (c10 : ℕ) → HTProof initCond (program c10 ) (termCond {c10})
-<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>proof1 =
+<span class="line-numbers"> <a href="#n2" name="n2">2</a></span> proof1 c10 =
-<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>    SeqRule {λ e → true} ( PrimRule empty-case )
+<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>       SeqRule {λ e → true} ( PrimRule (init-case {c10} ))
-<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>      $ SeqRule {λ e →  Equal (varn e) 10} ( PrimRule lemma1   )
+<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>       $ SeqRule {λ e →  Equal (varn e) c10} ( PrimRule lemma1   )
-<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>      $ WeakeningRule {λ e → (Equal (varn e) 10) ∧ (Equal (vari e) 0)}  lemma2 (
+<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>       $ WeakeningRule {λ e → (Equal (varn e) c10) ∧ (Equal (vari e) 0)}  lemma2 (
-<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>          WhileRule {_} {λ e → Equal ((varn e) + (vari e)) 10}
+<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>          WhileRule {_} {λ e → Equal ((varn e) + (vari e)) c10}
 <span class="line-numbers"> <a href="#n7" name="n7">7</a></span>          $ SeqRule (PrimRule {λ e →  whileInv e  ∧ lt zero (varn e) } lemma3 )
-<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>                 $ PrimRule {whileInv'} {_} {whileInv}  lemma4 ) lemma5
+<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>             $ PrimRule {whileInv'} {_} {whileInv}  lemma4 ) lemma5
 <span class="line-numbers"> <a href="#n9" name="n9">9</a></span>
-<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>initCond : Cond
+<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span> initCond : Cond
-<span class="line-numbers"><a href="#n11" name="n11">11</a></span>initCond env = true
+<span class="line-numbers"><a href="#n11" name="n11">11</a></span> initCond env = true
 <span class="line-numbers"><a href="#n12" name="n12">12</a></span>
-<span class="line-numbers"><a href="#n13" name="n13">13</a></span>termCond : {c10 : ℕ} → Cond
+<span class="line-numbers"><a href="#n13" name="n13">13</a></span> termCond : {c10 : Nat} → Cond
-<span class="line-numbers"><a href="#n14" name="n14">14</a></span>termCond {c10} env = Equal (vari env) c10
+<span class="line-numbers"><a href="#n14" name="n14">14</a></span> termCond {c10} env = Equal (vari env) c10
 </pre></div>
 </div>
 </div>
-</li>
+<!-- * lemma1~5は rule それぞれの証明 -->
-</ul>
+<!-- program : Comm -->
+<!-- program =  -->
-<p><!-- program : Comm -->
+<!--   Seq ( PComm (λ env → record env {varn = 10})) -->
-<!-- program =  -->
+<!--   $ Seq ( PComm (λ env → record env {vari = 0})) -->
-<!--   Seq ( PComm (λ env → record env {varn = 10})) -->
+<!--   $ While (λ env → lt zero (varn env ) ) -->
-<!--   $ Seq ( PComm (λ env → record env {vari = 0})) -->
+<!--     (Seq (PComm (λ env → record env {vari = ((vari env) + 1)} )) -->
-<!--   $ While (λ env → lt zero (varn env ) ) -->
+<!--       $ PComm (λ env → record env {varn = ((varn env) - 1)} )) -->
-<!--     (Seq (PComm (λ env → record env {vari = ((vari env) + 1)} )) -->
+</li>
-<!--       $ PComm (λ env → record env {varn = ((varn env) - 1)} )) --></p>
+</ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="証明の一部">証明の一部</h2>
+<h2 id="証明の一部lemma1">証明の一部(lemma1)</h2>
 <ul>
-<li>型だけ載せる</li>
+<li>PComm の証明である lemma1 だけ解説</li>
-<li>基本的な証明方法は Condtition を変化させて次の Condition が成り立つように変形する</li>
+<li>lemma1 は n に 10 を代入したあと、 i に 0 を代入するところ</li>
-<li>impl⇒
+<li>証明することは<strong>事前条件の n ≡ 10 が成り立つか</strong></li>
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<li>PreCondition が成り立つとき、Command を実行するとPostConditionが成り立つ
-<div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>  lemma1 : {c10 : ℕ} → Axiom (stmt1Cond {c10}) (λ env → record { varn = varn env ; vari = 0 }) (stmt2Cond {c10})
+<ul>
-<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>  lemma1 {c10} env = impl⇒ ( λ cond → let open ≡-Reasoning  in
+<li>Axiom は x ⇒ y  ≡ true が成り立てば良かった</li>
-<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>    begin
+<li><strong><em>⇒</em></strong> は事後条件が成り立つかどうか</li>
-<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>      (Equal (varn env) c10 ) ∧ true
+<li>impl⇒ は x ≡ true → y ≡ true の関数(Command)を受け取って x ⇒ y  ≡ true を返す関数</li>
-<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>    ≡⟨ ∧true ⟩
+</ul>
-<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>      Equal (varn env) c10
+</li>
-<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>    ≡⟨ cond ⟩
+<li><strong>≡-Reasoning</strong> は Agda での等式変形
-<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>      true
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>    ∎ )
+<div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>  lemma1 : {c10 : Nat} → Axiom (stmt1Cond {c10})
-</pre></div>
+<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>         (λ env → record { varn = varn env ; vari = 0 }) (stmt2Cond {c10})
-</div>
+<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>  lemma1 {c10} env = impl⇒ ( λ cond → let open ≡-Reasoning in
-</div>
+<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>    begin
+<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>      (Equal (varn env) c10 ) ∧ true
-<p><!-- lemma2 :  {c10 : ℕ} → Tautology stmt2Cond whileInv --></p>
+<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>    ≡⟨ ∧true ⟩
+<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>      Equal (varn env) c10
+<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>    ≡⟨ cond ⟩
+<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>      true
+<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>    ∎ )
+<span class="line-numbers"><a href="#n11" name="n11">11</a></span>
+<span class="line-numbers"><a href="#n12" name="n12">12</a></span>  stmt1Cond : {c10 : ℕ} → Cond
+<span class="line-numbers"><a href="#n13" name="n13">13</a></span>  stmt1Cond {c10} env = Equal (varn env) c10
+<span class="line-numbers"><a href="#n14" name="n14">14</a></span>
+<span class="line-numbers"><a href="#n15" name="n15">15</a></span>  stmt2Cond : {c10 : ℕ} → Cond
+<span class="line-numbers"><a href="#n16" name="n16">16</a></span>  stmt2Cond {c10} env = (Equal (varn env) c10) ∧ (Equal (vari env) 0)
+</pre></div>
+</div>
+</div>
+<p><!-- lemma2 :  {c10 : Nat} → Tautology stmt2Cond whileInv --></p>
 <p><!-- lemma3 :   Axiom (λ e → whileInv e ∧ lt zero (varn e)) (λ env → record { varn = varn env ; vari = vari env + 1 }) whileInv' --></p>
-<p><!-- lemma4 :  {c10 : ℕ} → Axiom whileInv' (λ env → record { varn = varn env - 1 ; vari = vari env }) whileInv --></p>
+<p><!-- lemma4 :  {c10 : Nat} → Axiom whileInv' (λ env → record { varn = varn env - 1 ; vari = vari env }) whileInv --></p>
-<p><!-- lemma5 : {c10 : ℕ} →  Tautology ((λ e → Equal (varn e + vari e) c10) and (neg (λ z → lt zero (varn z)))) termCond  --></p>
+<p><!-- lemma5 : {c10 : Nat} →  Tautology ((λ e → Equal (varn e + vari e) c10) and (neg (λ z → lt zero (varn z)))) termCond  --></p>
 </li>
 </ul>
 <!-- _S9SLIDE_ -->
 <h2 id="agda-での-gears">Agda での Gears</h2>
 <ul>
 <li>Agda での CodeGear は通常の関数とは異なり、継続渡し (CPS : Continuation Passing Style) で記述された関数</li>
 <li>CPS の関数は引数として継続を受け取って継続に計算結果を渡す</li>
-<li><strong>名前 : 引数 -&gt; (Code : fa -&gt; t) -&gt; t</strong></li>
+<li><strong>名前 : 引数 → (Code : fa → t) → t</strong></li>
 <li><strong>t</strong> は継続</li>
-<li><strong>(Code : fa -&gt; t)</strong> は次の継続先</li>
+<li><strong>(Code : fa → t)</strong> は次の継続先</li>
 <li>DataGear は Agda での CodeGear に使われる引数
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>_g-_ : {t : Set} → ℕ → ℕ → (Code : ℕ → t) → t
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>_-_ : {t : Set} → Nat → Nat → (Code : Nat → t) → t
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>x g- zero next = next x
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>x - zero = (λ next → next x)
-<span class="line-numbers"><a href="#n3" name="n3">3</a></span>zero g- _  = next zero
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>zero - _ = (λ next → next zero)
-<span class="line-numbers"><a href="#n4" name="n4">4</a></span>(suc x) g- (suc y)  = next (x g- y)
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span>(suc x) - (suc y) = (x - y)
 </pre></div>
 </div>
 </div>
 </li>
 </ul>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="gears-をベースにした-hoarelogic">Gears をベースにした HoareLogic</h2>
+<h2 id="gears-をベースにした-hoarelogic-と証明全体">Gears をベースにした HoareLogic と証明(全体)</h2>
 <ul>
-<li>次に Gears をベースにした while Program をみる。</li>
+<li>Gears をベースにした while Program
-<li>このプログラムは自然数と継続先を受け取って t を返す
+<ul>
+<li>これは証明でもある</li>
+</ul>
+</li>
+<li>whileループを任意の回数にするため<strong>c10</strong>は引数</li>
+<li>whileTest’ の継続に conversion1、その継続に whileLoop’ が来て最後の継続に vari が c10 と等しい
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  proofGears : {c10 :  Nat } → Set
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  proofGears {c10} = whileTest' {_} {_} {c10} (λ n p1 →  conversion1 n p1
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>                 (λ n1 p2 → whileLoop' n1 p2 (λ n2 →  ( vari n2 ≡ c10 ))))
+</pre></div>
+</div>
+</div>
+</li>
+</ul>
+</div>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
+<h2 id="gears-と-hoarelogic-をベースにした証明whiletest">Gears と HoareLogic をベースにした証明(whileTest)</h2>
+<ul>
+<li>ここは代入する Command</li>
+<li>最初の Command なので PreCondition がない</li>
+<li>もとの whileProgram では PComm を2回していたがまとめた</li>
+<li>proof2は Post Condition が成り立つことの証明
+<ul>
+<li><strong><em>/\</em></strong> は pi1 と pi2 のフィールドをもつレコード型</li>
+<li>２つのものを引数に取り、両方が同時に成り立つことを示す</li>
+</ul>
+</li>
+<li>Gears での PostCondition は <strong>引数 → (Code : fa → PostCondition → t) → t</strong>
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  whileTest' : {l : Level} {t : Set l}  → {c10 :  Nat } →
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>              (Code : (env : Env)  → ((vari env) ≡ 0) /\ ((varn env) ≡ c10) → t) → t
+<span class="line-numbers"><a href="#n3" name="n3">3</a></span>  whileTest' {_} {_} {c10} next = next env proof2
+<span class="line-numbers"><a href="#n4" name="n4">4</a></span>    where
+<span class="line-numbers"><a href="#n5" name="n5">5</a></span>      env : Env
+<span class="line-numbers"><a href="#n6" name="n6">6</a></span>      env = record {vari = 0 ; varn = c10}
+<span class="line-numbers"><a href="#n7" name="n7">7</a></span>      proof2 : ((vari env) ≡ 0) /\ ((varn env) ≡ c10)      &lt;-- PostCondition
+<span class="line-numbers"><a href="#n8" name="n8">8</a></span>      proof2 = record {pi1 = refl ; pi2 = refl}
+</pre></div>
+</div>
+</div>
+</li>
+</ul>
+</div>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
+<h2 id="gears-と-hoarelogic-をベースにした証明conversion">Gears と HoareLogic をベースにした証明(conversion)</h2>
+<ul>
+<li>conversion は Condition から LoopInvaliant への変換を行う CodeGear</li>
+<li>proof4 は LoopInvaliant の証明</li>
+<li>Gears での HoareLogic の完全な記述は <strong>引数 → PreCondition → (Code : fa → PostCondition → t) → t</strong>
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"> <a href="#n1" name="n1">1</a></span>  conversion1 : {l : Level} {t : Set l } → (env : Env) → {c10 :  Nat } →
+<span class="line-numbers"> <a href="#n2" name="n2">2</a></span>                     ((vari env) ≡ 0) /\ ((varn env) ≡ c10)
+<span class="line-numbers"> <a href="#n3" name="n3">3</a></span>                     → (Code : (env1 : Env) → (varn env1 + vari env1 ≡ c10) → t) → t
+<span class="line-numbers"> <a href="#n4" name="n4">4</a></span>  conversion1 env {c10} p1 next = next env proof4
+<span class="line-numbers"> <a href="#n5" name="n5">5</a></span>    where
+<span class="line-numbers"> <a href="#n6" name="n6">6</a></span>      proof4 : varn env + vari env ≡ c10
+<span class="line-numbers"> <a href="#n7" name="n7">7</a></span>      proof4 = let open ≡-Reasoning  in
+<span class="line-numbers"> <a href="#n8" name="n8">8</a></span>        begin
+<span class="line-numbers"> <a href="#n9" name="n9">9</a></span>          varn env + vari env
+<span class="line-numbers"><strong><a href="#n10" name="n10">10</a></strong></span>        ≡⟨ cong ( λ n → n + vari env ) (pi2 p1 ) ⟩
+<span class="line-numbers"><a href="#n11" name="n11">11</a></span>          c10 + vari env
+<span class="line-numbers"><a href="#n12" name="n12">12</a></span>        ≡⟨ cong ( λ n → c10 + n ) (pi1 p1 ) ⟩
+<span class="line-numbers"><a href="#n13" name="n13">13</a></span>          c10 + 0
+<span class="line-numbers"><a href="#n14" name="n14">14</a></span>        ≡⟨ +-sym {c10} {0} ⟩
+<span class="line-numbers"><a href="#n15" name="n15">15</a></span>          c10
+<span class="line-numbers"><a href="#n16" name="n16">16</a></span>        ∎
+</pre></div>
+</div>
+</div>
+</li>
+</ul>
+</div>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
+<h2 id="gears-と-hoarelogic-をベースにした証明whileloop">Gears と HoareLogic をベースにした証明(whileLoop)</h2>
+<ul>
+<li>whileLoop は loopInvaliant が true の間 WhileLoop を回し続けるCodeGear</li>
+<li>この CodeGear は Agda がループが終わることが証明できてないため <strong>{-# TERMINATING #-}</strong> で明示</li>
+<li>false になると次の CodeGear へ
 <div class="language-AGDA highlighter-coderay"><div class="CodeRay">
 <div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  {-# TERMINATING #-}
-<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  whileLoop : {l : Level} {t : Set l} -&gt; Env -&gt; (Code : Env -&gt; t) -&gt; t
+<span class="line-numbers"><a href="#n2" name="n2">2</a></span>  whileLoop : {l : Level} {t : Set l} → Env → (Code : Env → t) → t
 <span class="line-numbers"><a href="#n3" name="n3">3</a></span>  whileLoop env next with lt 0 (varn env)
 <span class="line-numbers"><a href="#n4" name="n4">4</a></span>  whileLoop env next | false = next env
 <span class="line-numbers"><a href="#n5" name="n5">5</a></span>  whileLoop env next | true =
 <span class="line-numbers"><a href="#n6" name="n6">6</a></span>      whileLoop (record {varn = (varn env) - 1 ; vari = (vari env) + 1}) next
 </pre></div>
 </div>
 <div class='slide'>
 <!-- _S9SLIDE_ -->
-<h2 id="gears-と-hoarelogic-をベースにした証明">Gears と HoareLogic をベースにした証明</h2>
+<h2 id="gears-と-hoarelogic-をベースにした証明全体">Gears と HoareLogic をベースにした証明(全体)</h2>
 <ul>
-<li>ここでは
+<li>最終状態で返ってくる i の値は c10 と一致する</li>
-<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<li>これにより証明が可能
-<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  proofGears : {c10 :  ℕ } → Set
+<div class="language-AGDA highlighter-coderay"><div class="CodeRay">
+<div class="code"><pre><span class="line-numbers"><a href="#n1" name="n1">1</a></span>  proofGears : {c10 :  Nat } → Set
 <span class="line-numbers"><a href="#n2" name="n2">2</a></span>  proofGears {c10} = whileTest' {_} {_} {c10} (λ n p1 →  conversion1 n p1
 <span class="line-numbers"><a href="#n3" name="n3">3</a></span>                 (λ n1 p2 → whileLoop' n1 p2 (λ n2 →  ( vari n2 ≡ c10 ))))
 </pre></div>
 </div>
 </div>
 </li>
 </ul>
-<p>&lt;–!
-[論文目次]
-まえがき</p>
+</div>
-<p>現状</p>
+<div class='slide'>
+<!-- _S9SLIDE_ -->
-<p>Agda</p>
+<h2 id="まとめと今後の課題">まとめと今後の課題</h2>
+<ul>
-<p>GearsOS</p>
+<li>HoareLogic の while を使った例題を作成、証明を行った</li>
+<li>Gears を用いた HoareLogic ベースの検証方法を導入した
-<p>CodeGear DataGear</p>
+<ul>
+<li>証明が引数として渡される記述のため証明とプログラムを一体化できた</li>
-<p>Gears と Agda</p>
+</ul>
+</li>
-<p>Agda での HoareLogic</p>
+<li>今後の課題
+<ul>
-<p>Gears ベースの HoareLogic</p>
+<li>RedBlackTree や SynchronizedQueue などのデータ構造の検証(HoareLogic ベースで)</li>
+</ul>
-<p>まとめと課題</p>
+</li>
+</ul>
-<p>–&gt;</p>
 </div>
 </div><!-- presentation -->

Mercurial > hg > Papers > 2019 > ryokka-sigss

comparison slide/slide.html @ 12:e8fe28afe61e