Grundlagen der Informatik I “Programmierung”

Weitere Magazine

Empfehlungen

Info

Um diese Bestandteile deutlich genug vom Programmtext abzugrenzen, hat sich eingebürgert, sie in geschweifte Klammern zu setzen. Bei einer einfachen Folge von Anweisungen sähe dann ein durch logische Bestandteile ergänztes Programm wie folgt aus . is -require pre do { pre} Anweisung1; { Aussage1} Anweisung2; { Aussage2} . Anweisungn ensure post end { post} Aussage1 ist dabei zugleich die Nachbedingung von Anweisung1 als auch die Vorbedingung von Anweisung2. Ähnliches gilt für Aussage2, Aussage3 usw. pre ist als Vorbedingung der ganzen Routine insbesondere auch Vorbedingung von Anweisung1, post als Nachbedingung der ganzen Routine auch Nachbedingung von Anweisungn. Wir haben bei dieser Vorgehensweise die Schreibweise des sogenannten Hoare-Kalküls verwendet. Definition 4.2.1 (Notation des Hoare-Kalküls) Die Schreibweise { pre} instruction { post} , bezeichnet einen Satz des Kalküls für Programmbeweise. Er ist wahr genau dann, wenn pre eine Vorbedingung dafür ist, daß die Anweisung instruction terminiert und daß nach Ausführung von instruction die Aussage post gilt. Für die Aussagen pre und post sind Ausdrücke der Prädikatenlogik erlaubt, ergänzt um die Zusicherungssprache von Eiffel. instruction muß eine korrekte Eiffel Anweisung sein. { pre} instruction { post} besagt also, daß die Berechnung der Anweisung instruction immer zu einem Ergebnis führt (terminiert) und daß im Anschluß daran die Aussage post gilt, vorausgesetzt, daß vor der Ausführung von instruction die Aussage pre gültig war. Ist dies nicht der Fall, so wird gemäß den üblichen Regeln der logischen Implikation überhaupt nichts gefordert. Die Anweisung braucht nicht einmal zu terminieren. Die Anweisung instruction darf auch eine komplexere Anweisung (ein Compound gemäß der Syntaxbeschreibung in Abschnitt 4.3.12.1) sein. Beispiel 4.2.2 Ein einfacher wahrer Satz des Kalküls für Programmbeweise ist { x=0 ∧ y≥4} x:=y+3; y:=y-4 { x≥5 ∧ y≥0} An diesem Beispiel sieht man, daß Vor- und Nachbedingungen nicht unbedingt “optimal” sein müssen. Nach Ausführung von x:=y+3 wissen wir nämlich sogar, daß x≥7 gilt. Die Nachbedingung ist also schwächer als das, was wir beweisen könnten, – oder die Vorbedingung ist stärker als das, was wir benötigen. Die Terminierungsbedingung in Definition 4.2.1 ist wichtig, weil es durchaus der Fall sein kann, daß die Berechnung von Anweisungen, die Schleifen enthalten, bei bestimmten Eingaben niemals endet. In diesem Fall kann man natürlich auch keine Nachbedingung mehr beweisen. Deswegen unterscheidet man auch zwei Formen von Korrektheit einer Anweisung mit Vorbedingung pre und Nachbedingung post. Verlangt man, daß { pre} instruction { post} wahr ist im Sinne der Definition 4.2.1, so spricht man von totaler Korrektheit. Schwächt man die Definition dahingehend ab, daß aus der Vorbedingung pre nicht die Terminierung der Anweisung folgen muß, und post nur gelten muß, wenn pre gilt und die Anweisung terminiert, dann spricht man von partieller Korrektheit. Da aus Terminierung und partieller Korrektheit die totale Korrektheit folgt, hat es sich für die Beweisführung als zweckmäßig herausgestellt, den Beweis der Terminierung von dem der partiellen Korrektheit zu trennen.
Definition 4.2.3 (Korrektheit von Routinen) 1. Ist r eine Routine, so bezeichnet prer die Vorbedingung von r, postr die Nachbedingung von r und Br den Anweisungsteil (Body) von r. Die gültigen Argumente von r sind alle Werte, die für die formalen Argumente unter Einhaltung der Typbedingungen eingesetzt werden dürfen. 2. Eine Routine r heißt genau dann (total) korrekt, wenn für alle gültigen Argumente xr der Satz { prer(xr)} Br { postr(xr)} ein wahrer Satz des Kalküls für Programmbeweise ist. Ebenso läßt sich nun auch die Korrektheit einer ganzen Klasse präzise definieren. Eine Klasse K ist genau dann korrekt, wenn ihre durch die Anweisungsteile der Routinen gegebene Implementierung mit der durch Invariante, Vor- und Nachbedingungen gegebenen Spezifikation konsistent ist. Definition 4.2.4 (Korrektheit von Klassen) Eine Klasse K mit Invariante INV heißt genau dann korrekt, wenn gilt 1. Für jede exportierte Routine r von K und alle gültigen Argumente xr ist der Satz { INV ∧ prer(xr)} Br { INV ∧ postr(xr)} ein wahrer Satz des Kalküls für Programmbeweise. 2. Bezeichnet DefaultK die Zusicherung, daß alle Attribute von K die Initialwerte ihrer Typen tragen, so gilt für jede Initialisierungsprozedur i von K und alle gültigen Argumente xi der Satz { DefaultK ∧ prei(xi)} Bi { INV ∧ posti(xi)} Gibt es keine Initialisierungsprozedur, so bedeutet die zweite Bedingung schlicht, daß DefaultK die Invariante INV impliziert, d.h. daß alle Initialwerte die Invariante erfüllen. Die Notation des Hoare-Kalküls erlaubt es, schrittweise Aussagen über die Wirkungen einzelner und durch Programmkonstrukte zusammengesetzter Anweisungen als mathematischen Satz eines formalen Kalküls zu formulieren und zu beweisen. Zur Formulierung steht uns die volle Sprache der Prädikatenlogik, ergänzt um boolesche Ausdrücke von Eiffel, zur Verfügung und zum Beweis der Ableitungskalkül der Prädikatenlogik (Seite 49), ergänzt um Regeln für jedes einzelne Programmierkonstrukt. Letztere werden wir im Detail in Sektion 4.3 besprechen, wenn wir die verschiedenen Programmierkonstrukte von Eiffel vorstellen. 4.2.2 Ein Kalkül für Verifikation Die obige Definition der Wahrheit von Sätzen des Kalküls für Programmbeweise ist für die Durchführung von Beweisen unhandlich, da sie die Auswertung der Semantik benötigt, was im allgemeinen sehr aufwendig ist. Aus diesem Grunde hat man – analog zur Prädikatenlogik – einen Ableitungskalkül entwickelt, durch den die Beweisführung auf die Anwendung formaler syntaktischer Manipulationen (Beweisregeln) reduziert werden kann. Die konkreten Regeln lassen sich aus der genauen Definition der Semantik beweisen, was aber nicht Thema dieser Einführungsveranstaltung sein soll. Ein weiterer Zweck dieses Kalküls ist es, eine allgemein akzeptable Prüfung zu erlauben, ob für einen vorgegebenen Programmteil instructions die Korrektheit bezüglich seiner Spezifikation durch pre und post garantiert ist. Dies ist sinnvoll für Gruppen, die nicht in die Entwicklung involviert sind, wie zum Beispiel die innerbetrieblichen Qualitätskontrolle oder den TÜV, der in den kommenden Jahren immer mehr für eine außerbetriebliche Softwarekontrolle eingesetzt werden soll. Diese Gruppen interessieren sich nicht für den Entwicklungsprozeß, sondern nur für die Korrektheit des Ergebnisses. Für die Entwickler selbst ist die Trennung von Programmentwicklung und Verifikation unsinnig, da hierbei zweimal über dasselbe Programmstück nachgedacht werden muß. 14
Seite 1 und 2:
Grundlagen der Informatik I “Prog
Seite 3 und 4:
Inhaltsverzeichnis 1 Einführung 1
Seite 5 und 6:
3.7.1 Zusicherungen . . . . . . . .
Seite 7 und 8:
Abbildungsverzeichnis 2.1 Syntax de
Seite 9:
4.9 Verifikationsregeln und Prädik
Seite 12 und 13:
edeutet wiederum, exakte Prognosen
Seite 14 und 15:
Stoff betrifft, so werden Sie eine
Seite 16 und 17:
ilden die Grundlage zum Erwerb des
Seite 18 und 19:
Komplexität 1. A.. V. Aho, E. Hopc
Seite 20 und 21:
ser Zweig der Informatik beschäfti
Seite 22 und 23:
5. Kompatibilität ist ein Maß daf
Seite 24 und 25:
∀a ∈IN. teilt(a,a) ∧ teilt(a,
Seite 26 und 27:
durchgeführt werden, sofern man ni
Seite 28 und 29:
1.2.2.3 Diskussion Bei der deskript
Seite 30 und 31:
Da 1215 ist wird die erste Anweisun
Seite 32 und 33:
Rahmen zu weit führen. Auffällig
Seite 34 und 35:
Durch das Konzept des Übersetzers
Seite 36 und 37:
und “örtlich” durch Zerlegung
Seite 38 und 39:
1.3.4 Prozeduralisierung Das Beispi
Seite 40 und 41:
Man könnte das Objektkonzept von d
Seite 43 und 44:
Kapitel 2 Logik und formale Sprachb
Seite 45 und 46:
2.1 Formale Sprachbeschreibungen Di
Seite 47 und 48:
möglichen Alternativen auf der rec
Seite 49 und 50:
Wenn wir eine Menge von Sprachen be
Seite 51 und 52:
Da wir im folgenden den Begriff der
Seite 53 und 54:
Für die Zuordnung zwischen der Obj
Seite 55 und 56:
Diese Form der Definition findet ih
Seite 57 und 58:
K1: Kommutativ-Gesetz E1 ∧E2 ≡
Seite 59 und 60:
Axiomenschemata: L1 A ∨ ¬A L2 (A
Seite 61 und 62:
In dem Kapitel über die Programmve
Seite 63 und 64:
2. Es werden Quantoren eingeführt,
Seite 65 und 66:
s (T, state) = wahr s (F, state) =
Seite 67 und 68:
• x ist gebunden in p(t1, ..., tn
Seite 69 und 70:
Der Wert einer Aussage mit mehreren
Seite 71 und 72:
Wichtig ist, daß die Auswahl des W
Seite 73 und 74:
Wir geben hier eine Funktion an, di
Seite 75:
wichtigste formale Sprache zur Besc
Seite 78 und 79:
Wir wollen jedoch deutlich darauf h
Seite 80 und 81:
Buch, sondern sollten besser als ei
Seite 82 und 83:
Viel sinnvoller ist es, bei der Bes
Seite 84 und 85:
Entsprechend ihrer beabsichtigten B
Seite 86 und 87:
Klassen sind rein statische Beschre
Seite 88 und 89:
leeren Verweis (d.h. von machen Per
Seite 90 und 91:
haben wie z.B. “(jahr:INTEGER)”
Seite 92 und 93:
und diese erzeugten Objekte mit Ver
Seite 94 und 95:
Bei der Erzeugung von Objekten mitt
Seite 96 und 97:
über den Namen eines Attributs Wer
Seite 98 und 99:
• Die Veränderung und Auswertung
Seite 100 und 101:
3.5 Copy- und Referenz-Semantik In
Seite 102 und 103:
3.5.2 expanded: Klassen mit Copy-Se
Seite 104 und 105:
class LIST[X] creation new feature
Seite 106 und 107:
Dieses Problem wird durch das Konze
Seite 108 und 109: 3.7.1 Zusicherungen Eiffel logische
Seite 110 und 111: class ARRAY[X] creation make featur
Seite 112 und 113: class ARRAY[X] creation make featur
Seite 114 und 115: formulieren und zu überwachen. Eig
Seite 116 und 117: 3.8.2 Export geerbter Features Norm
Seite 118 und 119: Ist also p ein Personenobjekt und a
Seite 120 und 121: Definition 3.8.5 (Konformität) Ein
Seite 122 und 123: Um die Beschreibung des Typsystems
Seite 124 und 125: Nachkommenklassen aber folgt entity
Seite 126 und 127: deferred class LIST[X] feature leng
Seite 128 und 129: class STUDENT feature universität:
Seite 130 und 131: Das Problem ist nun, daß beide Elt
Seite 132 und 133: Prinzipiell wäre es sogar möglich
Seite 134 und 135: Das bedeutet also, daß die Erbenkl
Seite 136 und 137: Die eigentliche Montage eines Syste
Seite 138 und 139: Verständlichkeit der Module: Die L
Seite 140 und 141: dynamische Semantik: Die dynamische
Seite 142 und 143: Constant ::= Manifest constant | Id
Seite 145 und 146: Kapitel 4 Systematische Entwicklung
Seite 147 und 148: 4.1.2 Grundideen des objektorientie
Seite 149 und 150: jedoch dringend zu empfehlen, jegli
Seite 151 und 152: • Ausleihe - Bücher werden nach
Seite 153 und 154: Der Anwender ist kein echter Klient
Seite 155 und 156: Es sei an dieser Stelle angemerkt,
Seite 157: einen Rechner überprüft werden ka
Seite 161 und 162: Programmkonstruktion keine Rolle, d
Seite 163 und 164: Eine Wertzuweisung entity := Ausdru
Seite 165 und 166: 4.3.2.1 Die Rolle formaler Paramete
Seite 167 und 168: Für eine korrekt implementierte Pr
Seite 169 und 170: { pre} Anweisung1 { p} , { p} Anwei
Seite 171 und 172: die alle dieselbe Variable x betref
Seite 173 und 174: 4.3.4.4 Verifikation Die Verifikati
Seite 175 und 176: Dieser Beweis ist in der folgenden
Seite 177 und 178: Im allgemeinen ist es sehr schwieri
Seite 179 und 180: from Init invariant Inv variant Var
Seite 181 und 182: Programm Zusicherungen Prämissen n
Seite 183 und 184: entdeckten Fehler stillschweigend h
Seite 185 und 186: Gegenlesen nicht findet(, aber auch
Seite 187 und 188: 4.3.10 Die Verifikation rekursiver
Seite 189 und 190: • Die Variante einer rekursiven R
Seite 191 und 192: Die Art der Anweisungen ist nicht a
Seite 193 und 194: Die Formulierung von Ausdrücken mu
Seite 195 und 196: 4.4.6 Sprachbeschreibung Die nun fo
Seite 197 und 198: Programm nachträglich als korrekt
Seite 199 und 200: Der vollständige Korrektheitsbewei
Seite 201 und 202: Dies ist die Grundidee der sogenann
Seite 203 und 204: Als Initalanweisung genügt es, i m
Seite 205 und 206: Beispiel 4.5.15 (Vertauschen von Se
Seite 207 und 208: Mit einer wichtigen strategischen A
Seite 209:
Seien Sie sich bewußt, daß gerade
Alle anzeigen

Grundlagen der Informatik I “Programmierung”

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?