In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Funktionale Programmierung

Verträge für die funktionale Programmierung Design und

Werbung 
Verträge für die funktionale Programmierung
Design und Implementierung
RALF HINZE
Institut für Informatik III, Universität Bonn
Römerstraße 164, 53117 Bonn, Germany
Email: [email protected]
Homepage: http://www.informatik.uni-bonn.de/~ralf
Januar 2006
(Die Folien sind online verfügbar: .../~ralf/talks.html#T46.)
1
JJ J I II 2
Motivation
Ein wesentliches Qualitätsmerkmal von Software ist Zuverlässigkeit:
I Korrektheit: die Software tut, was sie soll.
I Robustheit: die Software kommt mit unerwarteten Situationen zurecht.
Es gibt verschiedene Ansätze, um die Zuverlässigkeit von Software zu erhöhen:
I formaler Korrektheitsbeweis,
I Typsysteme (statisch, dynamisch),
I systematisches Testen,
I design by contract“.
”
+ Die Ansätze sind nicht konkurrierend;2 sie ergänzen sich eher.
JJ J I II 2
Überblick
Design by contract“ ist eine in der objekt-orientierten Welt weit verbreitete
”Entwurfsmethode.
In diesem Vortrag: Übertragung der Idee auf die funktionale Programmierung
unter besonderer Berücksichtigung von
I Funktionen höherer Ordnung,
I algebraischen Datentypen,
I parametrisiertem Typpolymorphismus.
Besonderheit: der Ansatz erfordert keine Spracherweiterung, sondern wird im
wesentlichen mit den Bordmitteln funktionaler Sprachen, hier Haskell, als
Bibliothek realisiert.
3
JJ J I II 2
Gliederung
6
Syntax von Verträgen
6
Beispiele
6
Semantik von Verträgen
6
Zusammenfassung
4
JJ J I II 2
Syntax: Basisverträge
Ein Vertrag spezifiziert eine gewünschte Eigenschaft. Zum Beispiel:
nat : Contract Int
nat = { i | i > 0 }
+ Ist x eine Variable vom Typ σ und e ein Boole’scher Ausdruck, dann ist
{ x | e } ein Vertrag vom Typ Contract σ, ein sogenannter Basisvertrag.
true : Contract α
true = { x | True }
nonempty : Contract [α]
nonempty = { x | not (null x ) }
+ Verträge sind Bürger erster Klasse: sie können an Namen gebunden werden,
Argument oder Ergebnis von Funktionen sein etc.
5
JJ J I II 2
Syntax — Verträge schließen
Mit Hilfe der Funktion
assert : Contract α → (α → α)
kann eine Eigenschaft zugesichert werden (ein Vertrag geschlossen werden).
mersenne : Int
mersenne = assert prime (230402457 − 1)
prime : Contract Int
prime = { n | factors n
[1, n ] }
6
JJ J I II 2
Syntax — Funktionsverträge
Eigenschaften von Funktionen können mit Hilfe des Kombinators ‘7→’ spezifiziert
werden:
nonempty 7→ nat
Hier spezifiziert nonempty den Definitionsbereich und nat den Wertebereich;
nonempty ist die Vorbedingung und nat die Nachbedingung.
Die Nachbedingung darf zusätzlich vom Funktionsargument abhängen:
(n : nat) 7→ { r | n < r }
+ Ist x eine Variable vom Typ σ
und sind e1 und e2 Verträge vom Typ
Contract σ1 bzw. Contract σ2, dann ist (x : e1) 7→ e2 ein Vertrag vom Typ
Contract (σ1 → σ2), ein sogenannter Funktionsvertrag.
1
7
JJ J I II 2
Verträge — Rechte, Pflichten, Vertragsbruch
Die Zusicherung e1 7→ e2 hat den Charakter eines juristischen Vertrages.
+ Ein Vertrag regelt Rechte und Pflichten.
Partei
Pflichten
Rechte
erfülle Vorbedingung e1 verwende Nachbedingung e2
Kunde
Lieferant erfülle Nachbedingung e2 verwende Vorbedingung e1
Die Rechte des einen sind die Pflichten des anderen.
+ Wird eine Zusicherung zur Laufzeit verletzt, ist die Software fehlerhaft.
Wird die Vorbedingung verletzt, liegt der Fehler beim Kunden.
Wird die Nachbedingung verletzt, liegt der Fehler beim Lieferanten.
8
JJ J I II 2
Vertragsbruch — Funktionen erster Ordnung
inc, dec : Int → Int
inc = assert (nat 7→ nat) (λn → n + 1)
dec = assert (nat 7→ nat) (λn → n − 1)
Interaktive Sitzung:
Contractsi inc 5
6
Contractsi inc (−5)
*** assertion failed: the expression −5 is to blame.
Contractsi dec 5
4
Contractsi dec 0
*** assertion failed: the function dec is to blame.
9
JJ J I II 2
Vertragsbruch — Funktionen höherer Ordnung
slope : (Double → Double) → (Double → Double → Double)
slope = assert ((pos 7→ pos) 7→ (pos 7→ pos 7→ pos))
(λf a b → (f b − f a) / (b − a))
Interaktive Sitzung:
Contractsi slope (λx → x + 1) (−1.0) 1.0
*** assertion failed: the expression −1.0 is to blame.
Contractsi slope (λx → x − 1) 2.0 3.0
1.0
Contractsi slope (λx → x − 1) 0.0 1.0
*** assertion failed: the expression λx → x − 1 is to blame.
Contractsi slope (λx → 1 / x ) 2.0 3.0
*** assertion failed: the function slope is to blame.
+ Vertragsbrüche werden nur dann erkannt, wenn der jeweilige Wert außerhalb
seiner Spezifikation verwendet wird.
10
JJ J I II 2
Syntax: Listenverträge und Konjunktion
Verträge auf Listen:
[nat ]
[nat 7→ nat ]
Ist e ein Vertrag vom Typ Contract α, dann ist [e ] ein Vertrag vom Typ
Contract [α].
Verträge können mit und“ verknüpft werden.
”
nat & { n | n 6 4711 }
11
JJ J I II 2
Gliederung
4
Syntax von Verträgen
6
Beispiele
6
Semantik von Verträgen
6
Zusammenfassung
12
JJ J I II 2
Beispiele: Primfaktorenzerlegung
Im folgenden ist f 0 die ‘gesicherte’ Variante von f .
prime-factors 0 : Int → [Int ]
prime-factors 0 = assert ((n : pos) 7→ [prime ] & { fs | product fs
prime-factors
n })
+ prime-factors ist invers zu product. Dieses Idiom lässt sich mit Hilfe einer
Funktion höherer Ordnung ‘einfangen’:
inverse : (Eq β) ⇒ (α → β) → Contract (β → α)
inverse f = (x : true) 7→ { y | f y x }
prime-factors 0 : Int → [Int ]
prime-factors 0 = assert ((pos 7→ [prime ]) & inverse product)
prime-factors
13
JJ J I II 2
Beispiele: Sortieren
fast-sort 0 : (Ord α) ⇒ [α] → [α]
fast-sort 0 = assert (true 7→ ord ) fast-sort
Der Vertrag ord schränkt Listen auf geordnete Listen ein.
+ Wir haben nicht spezifiziert, dass die Ausgabeliste eine Permutation der
Eingabeliste ist.
14
JJ J I II 2
Beispiele: Sortieren—Fortsetzung
Sei bag : [α] → *α+ eine Funktion, die eine Liste in eine Multimenge überführt.
fast-sort 0 : (Ord α) ⇒ [α] → [α]
fast-sort 0 = assert ((x : true) 7→ ord & { s | bag x
fast-sort
bag s })
+ fast-sort verändert nicht die Vielfachheit von Elementen. Auch dieses Idiom
lässt sich mit Hilfe einer Funktion höherer Ordnung einfangen:
preserve : (Eq β) ⇒ (α → β) → Contract (α → α)
preserve f = (x : true) 7→ { y | f x f y }
fast-sort 0 = assert ((true 7→ ord ) & preserve bag) fast-sort
+ Eine schwächere Zusicherung: preserve length.
15
JJ J I II 2
Beispiele: Sortieren—Fortsetzung
Alternativ können wir fast-sort mit Hilfe einer vertrauenswürdigen Sortierfunktion
spezifizieren.
fast-sort 0 : (Ord α) ⇒ [α] → [α]
fast-sort 0 = assert ((x : true) 7→ { s | s
fast-sort
trusted -sort x })
Ein weiteres Idiom:
is : (Eq β) ⇒ (α → β) → Contract (α → β)
is f = (x : true) 7→ { y | y f x }
fast-sort 0 = assert (is trusted -sort) fast-sort
16
JJ J I II 2
Beispiele: while
Kontrollkonstrukte wie while müssen nicht gesondert behandelt werden.
while : (α → Bool ) → (α → α) → (α → α)
while p f a = if p a then while p f (f a) else a
while 0 : Contract α → (α → Bool ) → (α → α) → (α → α)
while 0 inv = assert (true 7→ (inv 7→ inv ) 7→ (inv 7→ inv ))
while
+ Die Invariante wird an while
0
übergeben!
17
JJ J I II 2
Gliederung
4
Syntax von Verträgen
4
Beispiele
6
Semantik von Verträgen
6
Zusammenfassung
18
JJ J I II 2
Semantik
+ Wir spezifizieren die Semantik von Verträgen, indem wir eine
Implementierung in Haskell angeben (hier ohne Schuldzuweisungen).
Die konkrete Syntax für Verträge lässt sich einfach in Haskell Syntax überführen.
konkrete Syntax
Haskell Syntax
{x | p x }
(x : c1) 7→ c2 x
[c ]
c1 & c 2
Prop (λx → p x )
Function c1 (λx → c2 x )
List c
And c1 c2
+ Variablenbindende Konstrukte werden auf λ-Ausdrücke abgebildet.
19
JJ J I II 2
Semantik: Contract
Verträge lassen sich somit als Elemente des folgenden algebraischen Datentyps
repräsentieren.
data Contract : ∗ → ∗ where
Prop
: (α → Bool ) → Contract α
Function : Contract α → (α → Contract β) → Contract (α → β)
List
: Contract α → Contract [α]
And
: Contract α → Contract α → Contract α
+ Contract ist ein sogenannter verallgemeinerter algebraischer Datentyp,
englisch GADT oder phantom type.
20
JJ J I II 2
Semantik: assert
Die Funktion assert ist induktiv definiert:
assert : Contract α → (α → α)
assert (Prop p)
a
|pa
=a
| otherwise
= error "assertion failed"
assert (Function c1 c2) f = (λx → (assert (c2 x ) · f ) x ) · assert c1
assert (List c)
as = map (assert c) as
assert (And c1 c2)
a = (assert c2 · assert c1) a
+ assert c ist die Identität, wenn c nicht verletzt wird.
Für Verträge der Form c1 7→ c2 vereinfacht sich assert zu
assert (c1 7→ c2) f = assert c2 · f · assert c1
21
JJ J I II 2
Optimierung von Verträgen
Hat man die Korrektheit einer Funktion mit externen Mitteln nachgewiesen (mit
einem Theorembeweiser), so lässt sich der zugehörige Vertrag ‘optimieren’.
Beispiel: Die Funktion inc ist korrekt:
inc : Int → Int
inc = assert (nat 7→ nat) (λn → n + 1)
Ist das Argument eine natürliche Zahl, dann auch das Ergebnis. Somit lässt sich
die Zusicherung wie folgt optimieren:
inc = assert (nat 7→ true) (λn → n + 1)
+ Die Vorbedingung kann nicht entfallen, da nicht garantiert werden kann, dass
inc korrekt aufgerufen wird.
22
JJ J I II 2
Vertragserfüllung
Eine Funktion f erfüllt den Vertrag c genau dann, wenn
assert c f = assert c + f
wobei c + wie folgt definiert ist:
(Prop p)+
= true
+
(Function c1 c2) = Function c1− (λx → (c2 x )+)
(Prop p)−
= Prop p
−
(Function c1 c2) = Function c1+ (λx → (c2 x )−)
In den restlichen Fällen werden (·)+ und (·)− einfach propagiert.
+ inc und while erfüllen ihren Vertrag, dec und slope hingegen nicht.
23
JJ J I II 2
Gliederung
4
Syntax von Verträgen
4
Beispiele
4
Semantik von Verträgen
6
Zusammenfassung
24
JJ J I II 2
Zusammenfassung
Wir haben eine EDSL (embedded domain-specific language) für Verträge
kennengelernt:
I Verträge sind integraler Bestandteil der Programmiersprache (keine separate
Sprache für Verträge wie zum Beispiel in Eiffel),
I Verträge sind Bürger erster Klasse,
I es lassen sich eigene Abstraktionen definieren,
I Funktionen höherer Ordnung werden in natürlicher Weise unterstützt.
Ausblick:
I Verträge für algebraische Datentypen,
I rekursive Verträge,
I Verträge für polymorphe Funktionen.
25
JJ J I II 2
Literatur
Typed Contracts for Functional Programming, R. Hinze, J. Jeuring und A. Löh.
Eighth International Symposium on Functional and Logic Programming (FLOPS
2006), 24–26 April 2006, Fuji Susono, Japan.
26
JJ J I II 2
Anhang: Bibliotheksfunktionen
pos : (Num α) ⇒ Contract α
pos = { x | x > 0 }
ord : (Ord α) ⇒ Contract [α]
ord = { x | ordered x }
ordered
ordered
ordered
ordered
: (Ord α) ⇒ [α] → Bool
[]
= True
[a ]
= True
(a1 :: a2 :: as) = a1 6 a2 ∧ ordered (a2 :: as)
27
JJ J I II 2
Zugehörige Unterlagen
assert - TU Darmstadt
assert - TU Darmstadt
File - CORINNE WOLL CONSULTING
File - CORINNE WOLL CONSULTING
Information - Dahlberg
Information - Dahlberg
Klausur zur Vorlesung Informationsökonomik
Klausur zur Vorlesung Informationsökonomik
Leviathan oder Stoff, Form und Gewalt eines - Hu
Leviathan oder Stoff, Form und Gewalt eines - Hu
Design by Contract ‐ Modul SWE
Design by Contract ‐ Modul SWE
Vermerk für den Vorsitzenden und die
Vermerk für den Vorsitzenden und die
Von fachlogischen Testfällenzu physikalischen Testdaten
Von fachlogischen Testfällenzu physikalischen Testdaten
Algorithmische Graphentheorie
Algorithmische Graphentheorie
Kernstoffbereiche für die Mündliche Reifeprüfung aus CHEMIE 2006
Kernstoffbereiche für die Mündliche Reifeprüfung aus CHEMIE 2006
Klausur zu Einführung in die Informatik I
Klausur zu Einführung in die Informatik I
Georg-August-Universität Göttingen Bachelor
Georg-August-Universität Göttingen Bachelor
Gut schlafen mit Parkinson
Gut schlafen mit Parkinson
Erklärung - bei DuEPublico
Erklärung - bei DuEPublico
woche13
woche13
Wissensbasierte Systeme
Wissensbasierte Systeme
Alte Spritze Niederglatt - Feuerwehrverein Niederglatt
Alte Spritze Niederglatt - Feuerwehrverein Niederglatt
Institut für Klinische Genetik
Institut für Klinische Genetik
Datentools Arjan Dhupia Workshop Infografik
Datentools Arjan Dhupia Workshop Infografik
Institut für Klinische Genetik
Institut für Klinische Genetik
Allgemeiner Teil
Allgemeiner Teil
Kurzfassung Curriculum Vitae
Kurzfassung Curriculum Vitae
Herunterladen
Werbung