对于Dafny程序,BVD的结果是奇怪的(?)
当我验证以下程序片段中有一个错误的错误时,
我从BVD得到以下结果,我不明白。
让我感到困惑的是,第二个不变量似乎在生成反例时被忽略了。如果两个不变量是I0和I1且守卫是G,那么验证条件肯定是 I0&& I1&& !G ==> qy> X 并且反例应该满足对此的否定。我误解了什么?
下面是为了方便任何想要的人而编写的代码。
function TwoToThe( i : int ) : int
decreases i
requires i >= 0
{
if i==0 then 1 else 2*TwoToThe( i-1 )
}
method interestingBVD(x : int, y : int)
requires y > 0
requires x >= 0
{
var q := 1 ;
var qy := y ; // Tracks q*y
ghost var i := 0 ;
// Double q until q*y exceeds x
while( qy < x ) // Off by one error.
invariant qy == q*y
invariant q == TwoToThe(i)
decreases 2*x-qy ;
{
q, qy, i := 2*q, 2*qy, i + 1 ;
}
// In the BVD we get actual numbers!!
assert q*y == qy > x && q == TwoToThe(i) ;
}
1 个答案:
答案 0 :(得分:1)
验证调试器指出qy可能等于x,尤其是它们都可能是2988。实际上,您评论中的!G是x <= qy,而不是qy > x。
在此示例中,还有一个值得注意的问题:
根据第二个不变式,验证者确实知道q == TwoToThe(i)。这是预料之中的,可以像完成操作一样使用assert进行测试。换句话说,验证者知道q等于将TwoToThe应用于i的结果。验证调试器显示q和i具有值2988和5330。这似乎很奇怪,因为我们知道TwoToThe(5330)远大于2988。那么,这是怎么回事?
要弄清TwoToThe(5330)的值,必须将TwoToThe的定义展开5330次。验证程序不会尝试多次定义,因此,2988似乎仍然显示TwoToThe(5330)的合理值。当调试失败的验证时,这可能是有用的信息。
总而言之,验证调试器可以洞悉验证者的世界,即洞悉验证者在“思考”什么。在这里,我们可以看到它“认为” TwoToThe(5330)返回2988。然后,我们进而得知,TwoToThe的定义不是其名称所暗示的含义,或者验证者没有完全扩展确定该值所需的成千上万的{{1}}递归调用。
Rustan
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?