Variablen und freie Variablen eines Ausdrucks

Variablen und freie Variablen eines Ausdrucks
Die Variablen eines Ausdrucks (Var (e))
Var (x)
Var (op(e1 , . . . , en ))
Var (e = e 0 )
Var (Qx.ϕ)
=
=
=
=
{x}
Sn
x ∈X
Var
(e
)
i
i=1
Var (e) ∪ Var (e 0 )
{x} ∪ Var (ϕ)
Q ∈ {∀, ∃}
Die freien Variablen einer Formel (free(ϕ)) sind genauso definiert ausser:
free(Qx.ϕ) = free(ϕ) \ {x} Q ∈ {∀, ∃}
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
33 / 56
Substitution
Die Substitution einer Variablen x durch einen Ausdruck t in e (ext )
xxt
= t
yxt
= y
op(e1 , . . . , en )tx
= op((e1 )tx , . . . , (en )tx )
(e1 = e2 )tx
t
t
= ((e
 1 )x = (e2 )x )


Qy .ϕ
falls y = x ∨ x 6∈ free(ϕ)



 Qy .ϕt
falls y 6= x, y 6∈ free(t), x ∈ free(ϕ)
x
=
z t


 Qz.(ϕy )x falls y 6= x, y ∈ free(t), x ∈ free(ϕ)



(z neu, d. h. z 6∈ Var (ϕ) ∪ Var (t))
(Qy .ϕ)tx
falls x 6= y
(Q ∈ {∀, ∃})
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
34 / 56
Regeln für Gleichungen
Γ ` τ = τ, ∆
(reflexivity right)
x = τ, Γτx ` ∆τx
(insert equation)
x = τ, Γ ` ∆
• Statt x = τ ist auch τ = x erlaubt (Symmetrie)
• KIV erlaubt auch:
• Einsetzen von Gleichungen τ = τ 0 (beides keine Variable).
Ersetzt τ nur dort, wo alle Variablen frei sind.
• Einsetzen der Gleichung nur an spezifischen
Positionen in Γ ` ∆ (selten gebraucht)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
35 / 56
Beispiel
Ein Beweis mit Quantoren.
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
36 / 56
Regeln für Quantoren
•
ϕτx , ∀ x.ϕ, Γ ` ∆
(all left)
∀ x.ϕ, Γ ` ∆
•
ϕyx , Γ ` ∆
(exists left)
∃ x.ϕ, Γ ` ∆
Γ ` ϕτx , ∃ x.ϕ, ∆
(exists right)
Γ ` ∃ x.ϕ, ∆
Γ ` ϕyx , ∆
(all right)
Γ ` ∀ x.ϕ, ∆
ϕτx die Substitution von x durch einen beliebigen Term τ in ϕ.
y ist eine neue Variable, i. e. eine, die nicht frei in Q x.ϕ, Γ, ∆
(Q ∈ {∀, ∃}) vorkommt.
Genauer: y 6∈ (free(ϕ)\{x}) ∪ free(Γ) ∪ free(∆)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
37 / 56
Intuition für Quantorenregeln (1)
all left:
• Allquantor im Antezedent: ∀ x.ϕ wird als wahr angenommen
• Aus der Annahme folgt, dass auch die Annahme ϕtx für einen
beliebigen Term t wahr ist
• Jede Formel ϕtx darf hinzugenommen werden
• Einziges Problem: Welches t ist nützlich (kreativ!)?
all right:
• Allquantor im Sukzedent: ∀ x.ϕ soll bewiesen werden
• Dazu muss ϕ für jedes beliebige, feste“ Element bewiesen werden
”
• Eine Variable y bezeichnet so ein beliebiges Element, aber nur, wenn
sie neu ist
• Wenn die Variable nicht neu wäre, wäre ihr Wert nicht beliebig,
sondern durch die Formeln eingeschränkt.
• Statt ∀ x.ϕ zeige man also ϕyx mit neuem y .
• Keine Kreativität erforderlich
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
38 / 56
Intuition für Quantorenregeln (2)
ex right:
• ∃ x.ϕ im Sukzedent soll bewiesen werden
• Wenn ϕtx für einen Term t bewiesen werden kann, so ist ∃ x.ϕ wahr
für den Wert den t bezeichnet.
• Also darf man sich ein t (hoffentlich das richtige“) aussuchen, um
”
einen Beweis für ϕtx zu führen.
ex left:
• ∃ x.ϕ im Antezedent darf angenommen werden.
• Es gibt also eine Belegung von x mit einem Element, für die ϕ wahr
ist
• Über das Element weiss man nur, dass ϕ wahr wird.
• Eine neue Variable y können wir mit dem Element belegen, da die
Gültigkeit der Sequenz von der Belegung bisher nicht abhängt.
• Die neue Variable gibt einen Namen“ für das existierende Element.
”
• Statt ∃ x.ϕ wird also ϕyx mit neuem y als Annahme verwendet.
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
39 / 56
Zusätzliche Regel: Insert Axiom
`ϕ
all right
` Cl∀ (ϕ)
weakening
Γ, Cl∀ (ϕ) ` ∆ Γ ` Cl∀ (ϕ), ∆
cut
Γ`∆
Cl∀ (ϕ) := ∀ x1 , . . . , xn .ϕ, wobei {x1 , . . . , xn } = free(ϕ)
Neue Regel im Basiskalkül, um obige Schritte abzukürzen:
` Ax
Cl∀ (Ax), Γ ` ∆
(insert axiom)
Γ`∆
• KIV bietet die erste Prämisse nicht mehr an
• Später: Der KIV-Kalkül hat noch komfortablere Regeln:
insert lemma & insert rewrite-lemma
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
40 / 56
Vorgriff: Induktion für natürliche Zahlen
• Theoretisches zu Induktion später
• In KIV gibt es pro Datentyp meist eine strukturelle Induktionsregel
• Nat. Zahlen: Wenn für eine Formel ϕ(n)
• ϕ(0) gilt
• Für jedes n: Aus Ind.hyp. ϕ(n) folgt: ϕ(n +1)
dann gilt für ∀ n. ϕ(n)
• Im Sequenzenkalkül: ϕ ist jetzt die Sequenz Γ ` ∆ (für
Induktionsformel in Formel umwandeln!)
` ϕ(0)
ϕ(n) ` ϕ(n +1)
Γ`∆
V
W
ϕ = ∀ y. Γ →
∆,
y = free(Γ → ∆) \ {n}
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
41 / 56
Semantik von
Formeln und Sequenzen
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
42 / 56
Grundidee der Verwendung von
Logik im Softwareentwurf
Menge von Formeln
= Axiome Ax
Syntax:
beschreiben
Semantik:
Software-Systeme:
Menge von Algebren
{A, B, . . .}
`K
,,ist beweisbar”
O
Vollständigkeit
Formel ϕ
Korrektkeit
beschreibt
|=
,,ist gültig in”
Eigenschaft ϕA
Ziel: Nachweis, dass ein reales Softwaresystem eine Eigenschaft hat.
Technik: Formaler Beweis ( Rechnen mit Formeln“) in KIV.
”
Korrektheit + Vollständigkeit garantieren, dass man das richtige tut
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
43 / 56
Grundidee der Verwendung von
Logik im Softwareentwurf (1)
Semantik (i. e. der Inhalt, dessen was wir tun):
• 1. Schritt: Wir wollen Softwaresysteme und funktionale
Anforderungen an solche beschreiben
• SW-Systeme sind Datenstrukturen, Programme etc.
Bei eingebetteten Systemen evtl. inclusive Umgebung
• 2. Schritt: Gegeben eine beliebige Implementierung, die die
Anforderungen erfüllt, wollen wir Eigenschaften wie z. B. Korrektheit
und Sicherheit nachweisen
Mathematik:
Das allgemeinste Modell für ein SW-System ist eine Algebra A.
Wir wollen also Algebren beschreiben, und Eigenschaften von Algebren
nachweisen.
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
44 / 56
Grundidee der Verwendung von
Logik im Softwareentwurf (2)
Mathematik: Sprachen zum Beschreiben von Algebren und ihren
Eigenschaften heissen Logiken
Bem.: Auch Prog.sprachen sind spezielle Beschreibungen von Algebren!
Syntax
• Algebren kann man durch Formelmengen Ax beschreiben
• Eigenschaften werden durch Formeln ϕ beschreiben
• Statt informell zu überlegen ob eine Eigenschaft gilt, verwenden wir
einen Kalkül K , und zeigen formal: Ax `K ϕ
Gewinn: Garantie, dass SW-System Eingenschaft hat
Keine absolute Garantie: Nur so gut, wie die Genauigkeit der Beschreibung
des SW-Systems (insbes. die Umgebung bei eingebetteten Systemen!)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
45 / 56
Semantik: Σ-Algebren
Eine Σ-Algebra A = ((As )s∈S , (op A )op∈OP )
zu einer Signatur Σ = (S, OP) ist ein Paar mit:
• Nichtleeren Mengen As für jede Sorte s ∈ S (Trägermengen)
• Die Trägermenge Abool ist immer gleich {tt,ff}
• Funktionen op A : As1 × . . . × Asn → As 0 für alle op : s1 , . . . , sn → s 0
• Die vordefinierten booleschen Symbole haben in jedem A die
“normale” Bedeutung (Wahrheitstafeln):
trueA = tt, ∧A (tt,ff) = ff, ∨A (tt,ff) = tt etc.
Die Menge aller Σ-Algebren über Σ wird mit Alg(Σ) bezeichnet.
Merke: Sorten bedeuten Datenmengen,
Operationssymbole bezeichen Funktionen
Algebra = Datenstruktur, Σ entspricht Interface
Bsp: Datenmenge = Menge aller Listen, Operation: Aneinanderhängen
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
46 / 56
Semantik: Belegungen von Variablen
Eine Belegung (engl. v aluation; auch: ein Zustand)
S
v : s∈S vs : Xs → As
ist eine Abbildung, die jedem Variablensymbol in Xs einen Wert in As
zuordnet
Die Abänderung vxa der Belegung v für x ∈ Xs und a ∈ As ist definiert
durch:
v (y ) falls x 6= y
a
vx (y ) :=
a
falls x = y
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
47 / 56
Semantik von Ausdrücken
Gegeben eine Algebra A und eine Belegung v . Dann ist die Semantik
[[e]]A,v eines Ausdrucks e der Sorte s das folgende Element aus As :
• [[x]]A,v := v (x) für x ∈ Xs
• [[op(e1 , . . . , en )]]A,v := op A ([[e1 ]]A,v , . . . , [[en ]]A,v ) für op ∈ OP und
ei ∈ EXPR(Σ, X )
• [[e1 = e2 ]]A,v := tt, falls [[e1 ]]A,v = [[e2 ]]A,v (sonst := ff)
• [[∀ x.ϕ]]A,v := tt, falls für alle a ∈ As 0 gilt: [[ϕ]]A,v a = tt (sonst := ff)
(x ∈ Xs 0 )
x
• [[∃ x.ϕ]]A,v := tt, falls es ein a ∈ As 0 gibt mit [[ϕ]]A,v a = tt (sonst :=
x
ff) (x ∈ Xs 0 )
Hinweis: Falls ϕ eine Formel ist, so ist [[ϕ]]A,v immer tt oder ff.
(“Die Formel ist wahr oder falsch in A mit v ”)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
48 / 56
Gültigkeit
Für ϕ ∈ For (Σ, X ) und Ax ⊆ For (Σ, X ) definiert man:
• A, v |= ϕ :⇔ [[ϕ]]A,v = tt
Gesprochen: ϕ gilt in A unter Belegung v“
”
• A |= ϕ :⇔ für jedes v gilt: A, v |= ϕ
Gesprochen: ϕ gilt in A“, A Modell von ϕ “
”
”
• A |= Ax :⇔ A |= ϕ für alle ϕ ∈ Ax
• Ax |= ϕ :⇔ für alle A ∈ Alg(Σ) gilt: A |= Ax ⇒ A |= ϕ
Gesprochen: ϕ folgt aus Ax“
”
• ϕ Tautologie, |= ϕ :⇔ für alle A ∈ Alg(Σ) gilt A |= ϕ
Beachte: A |= p(x) genau dann, wenn pA konstant für alle Elemente
wahr ist, also auch genau dann, wenn A |= ∀ x.p(x)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
49 / 56
Erfüllbarkeit
Für ϕ ∈ For (Σ, X ) und Ax ⊆ For (Σ, X ) definiert man:
• ϕ erfüllbar in der Algebra A
:⇔ es gibt Belegung v mit A, v |= ϕ
• Ax erfüllbar in der Algebra A
:⇔ es gibt Belegung v mit A, v |= ϕ für alle ϕ ∈ Ax
• ϕ erfüllbar, falls ϕ erfüllbar in einer Algebra
• Ax erfüllbar, falls Ax erfüllbar in einer Algebra
Beachte: p(x) ist erfüllbar in A, wenn pA für ein Element wahr liefert,
also auch genau dann, wenn A |= ∃ x.p(x)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
50 / 56
Eigenschaften der Prädikatenlogik (1)
1
A, v |= ϕ ⇔ Nicht A, v |= ¬ ϕ (kurz: A, v 6|= ¬ ϕ)
2
A, v |= ϕ oder A, v |= ¬ ϕ
3
v (x) = v 0 (x) für alle x ∈ free(ϕ) ⇒ (A, v |= ϕ ⇔ A, v 0 |= ϕ)
4
Nur, wenn free(ϕ) = ∅: A |= ϕ oder A |= ¬ ϕ
5
Nur, wenn free(ϕ) = ∅: A |= ϕ ⇔ A 6|= ¬ ϕ
6
A |= ϕ ⇔ A |= Cl ∀ (ϕ)
7
{Ax1 , . . . , Axn } |= ϕ ⇔ {Cl ∀ (Ax1 ), . . . , Cl ∀ (Axn )} |= ϕ
Bedeutung: Cl ∀ (ϕ)-Allquantifizierung aller freien Variablen in ϕ
Beachte Nummer 7: Axiome sind immer allquantifiziert
(Unterschied zur Vorlesung Logik f. Informatiker!)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
51 / 56
Eigenschaften der Prädikatenlogik (2)
Substitutionstheorem
[[t ]]
A, vx A,v |= ϕ ⇔ A, v |= ϕtx
Korollar (Instanzierung und Umbenennung)
Es gilt:
|= (∀ x. ϕ) → ϕtx
Wenn z 6∈ free(ϕ) \ {y }, so gilt außerdem:
• A, v |= ∀ y . ϕ ⇔ A, v |= ∀ z. ϕzy
• |= (∀ y . ϕ) ↔ (∀ z. ϕzy )
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
52 / 56
Semantik von Sequenzen
Definition (Semantik von V
Sequenzen)
W
A, v |= Γ ` ∆ ⇔ A, v |=
Γ→
∆
Folgerungen
Für ϕ ∈ For (Σ, X ) und Ax ⊆ For (Σ, X ) gilt
19. April 2013
A |= ϕ
⇔
A |= ` ϕ
A |= ¬ ϕ
⇔
A |= ϕ `
Ax |= ϕ
⇔
Ax |= ` ϕ
Ax |= ¬ ϕ
⇔
Ax |= ϕ `
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
53 / 56
Korrektheit der Basisregeln
Satz (Regelkorrektheit der Basisregeln)
Für alle Basisregeln gilt:
A |= {Γ1 ` ∆1 , . . . , Γn ` ∆n } ⇒ A |= (Γ ` ∆)
Alles andere wäre nicht sehr sinnvoll!
Satz (Invertierbarkeit der Basisregeln)
Für alle Basisregeln außer Abschwächung gilt:
A |= (Γ ` ∆) ⇒ A |= {Γ1 ` ∆1 , . . . , Γn ` ∆n }
Wichtige Konsequenz:
Durch Regelanwendung wird aus einer beweisbaren Sequenz nie eine
unbeweisbare!
(Man kann nichts falsch machen, nur Unnötiges und Umständliches)
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
54 / 56
Korrektheit und Vollständigkeit von PL
Kann man mit den Basisregeln einen Beweisbaum mit Konklusion ` ϕ
und Prämissen in Ax konstruieren, dann schreibt man
Ax `PL ϕ.
Satz (Korrektheit)
Für jede Formel ϕ und jede Formelmenge Ax gilt
Ax `PL ϕ
⇒
Ax |= ϕ
Satz (Vollständigkeit)
Für jede Formel ϕ und jede Formelmenge Ax gilt
Ax |= ϕ
19. April 2013
⇒
Ax `PL ϕ
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
55 / 56
Unentscheidbarkeit von PL
Satz (Unentscheidbarkeit von PL)
Es gibt kein Entscheidungsverfahren für die Allgemeingültigkeit von
prädikatenlogischen Formeln. Zählt man alle Beweise des
Sequenzenkalküls auf, so wird darin jede allgemeingültige Formel
irgendwann vorkommen, aber das Verfahren kann nicht so verschärft
werden, daß es auch für alle nicht allgemeingültigen Formeln immer
abbricht.
Beachte: Für reine Aussagenlogik ist der Sequenzenkalkül ein
Entscheidungsverfahren: Man kann blind einfach Regeln anwenden,
das terminiert immer. Genau wenn der Beweis geschlossen wird ist die
Formel allgemeingültig!
Das Problem bei PL liegt wo?
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
56 / 56
Unentscheidbarkeit von PL
Satz (Unentscheidbarkeit von PL)
Es gibt kein Entscheidungsverfahren für die Allgemeingültigkeit von
prädikatenlogischen Formeln. Zählt man alle Beweise des
Sequenzenkalküls auf, so wird darin jede allgemeingültige Formel
irgendwann vorkommen, aber das Verfahren kann nicht so verschärft
werden, daß es auch für alle nicht allgemeingültigen Formeln immer
abbricht.
Beachte: Für reine Aussagenlogik ist der Sequenzenkalkül ein
Entscheidungsverfahren: Man kann blind einfach Regeln anwenden,
das terminiert immer. Genau wenn der Beweis geschlossen wird ist die
Formel allgemeingültig!
Das Problem bei PL liegt bei der Frage, welche Terme τ man bei den
Regeln all left/exists right wählen soll.
19. April 2013
G. Schellhorn, D. Haneberg: Formale Methoden im Software Engineering
56 / 56