如何在Frama-C中使用真实公理证明代码

时间:2018-11-20 14:59:51

标签: floating-point trigonometry frama-c

在ACSL-by-Example书籍的“内部产品”代码中,我已将int类型更改为floatint类型的代码对我有效),现在我无法证明循环不变inner。我为inf和NaN添加了一些检查,但没有成功。 

#include "limits.h"

/*@
  predicate  Unchanged{K,L}(float* a, integer first, integer last) =
    \forall integer i; first <= i < last ==>
    \at(a[i],K) == \at(a[i],L);

  predicate  Unchanged{K,L}(float* a, integer n) =
    Unchanged{K,L}(a, 0, n);

  lemma UnchangedStep{K,L}:
    \forall float *a, integer n;
    0 <= n ==>
    Unchanged{K,L}(a, n) ==>
    \at(a[n],K) == \at(a[n],L) ==>
    Unchanged{K,L}(a, n+1);

  lemma UnchangedSection{K,L}:
    \forall float *a, integer m, n;
    0 <= m <= n ==>
    Unchanged{K,L}(a, n) ==>
    Unchanged{K,L}(a, m);
*/


/*@ axiomatic InnerProductAxiomatic
  {
  logic real InnerProduct{L}(float* a, float* b, integer n, float init)
  reads a[0..n-1], b[0..n-1];

  axiom InnerProductEmpty:
    \forall float *a, *b, init, integer n;
    n <= 0 ==> InnerProduct(a, b, n, init) == init;

  axiom InnerProductNext:
    \forall float *a, *b, init, integer n;
    n >= 0 ==>
    InnerProduct(a, b, n + 1, init) ==
    InnerProduct(a, b, n, init) + a[n] * b[n];

  axiom InnerProductRead{L1,L2}:
    \forall float *a, *b, init, integer n;
    Unchanged{L1,L2}(a, n) && Unchanged{L1,L2}(b, n) ==>
    InnerProduct{L1}(a, b, n, init) ==
    InnerProduct{L2}(a, b, n, init);
  }*/

/*@
  predicate ProductBounds(float* a, float* b, integer n) =
    \forall integer i; 0 <= i < n ==>
    (INT_MIN <= a[i] * b[i] <= INT_MAX) ;

  predicate InnerProductBounds(float* a, float* b, integer n, float init) =
    \forall integer i; 0 <= i <= n ==>
    INT_MIN <= InnerProduct(a, b, i, init) <= INT_MAX;
*/

/*@
  requires valid_a: \valid_read(a + (0..n-1));
  requires valid_b: \valid_read(b + (0..n-1));
  requires \is_finite(init);
  requires !\is_NaN(init);
  requires bounds: ProductBounds(a, b, n);
  requires bounds: InnerProductBounds(a, b, n, init);
  requires (n < 100) && (n>=0);
  requires \forall integer i; 0 <= i < n ==>  \is_finite(a[i]);
  requires \forall integer i; 0 <= i < n ==>  \is_finite(b[i]);
  requires \forall integer i; 0 <= i < n ==>  !\is_NaN(b[i]);
  requires \forall integer i; 0 <= i < n ==>  !\is_NaN(a[i]);

  assigns \nothing;
  ensures result: \result == InnerProduct(a, b, n, init);
  ensures unchanged: Unchanged{Here,Pre}(a, n);
  ensures unchanged: Unchanged{Here,Pre}(b, n);
*/

float inner_product(const float* a, const float* b, int n, float init)
{
  int i = 0;
  /*@
    loop invariant index: 0 <= i <= n;
    loop invariant inner: init == InnerProduct(a, b, i, \at(init,Pre));
    loop assigns i, init;
    loop variant n-i;
  */
  while (i < n) {
    init = init + a[i] * b[i];
    i++;
  }
  return init;
}

如何通过?哪里有真实计算证明的好案例?

坦率地说,我想证明Sine的循环不变。我为此创建了一个引理(有界Sine Taylor级数)并将其作为函数进行了测试。而且我不知道如何开始证明它。 

/*@
axiomatic SinNAxiomatic
{
logic real Sinnn {l} (real x, real sum, real current, integer i, integer i_max);
axiom SinnnEmpty: \forall real x, real sum, real current, integer i, integer i_max; (\abs(current) < 0.00001) || (i == i_max) ==> Sinnn(x, sum, current, i, i_max)
== sum + current;
axiom SinnnNext: \forall real x, real sum, real current, integer i, integer i_max; \abs(current) > 0.00001 ==> Sinnn(x, sum, current, i, i_max) ==
Sinnn(x, sum + current, current * (-1.0 * x * x / ((2 * i) * (2 * i + 1))), i + 1, i_max);

lemma  SinnnMemCmp{L1,L2}: \forall real x, real sum, real current, integer i, integer i_max;
\at(x, L1)==\at(x, L2) && \at(sum, L1)==\at(sum, L2) &&  \at(current, L1)==\at(current, L2) && \at(i, L1)==\at(i, L2) && \at(i_max, L1)==\at(i_max, L2)
  ==> Sinnn{L1}(x, sum, current, i, i_max) == Sinnn{L2}(x, sum, current, i, i_max);
}
*/
float SinTailor(float x) {
        float n = x;
        float sum = 0.0;
        int i = 1;
/*@
loop invariant over: \abs(sum - Sinnn(x, 0, x, 1, i - 1)) <= 0.001;
loop assigns sum, n, i;
*/
        do
        {
            sum += n;
            n *= -1.0 * x * x / ((2 * i) * (2 * i + 1));
            i++;
            //printf("sum my=%f recursion=%f\n", sum, TestSinnn(x, 0, x, 1, i - 1)); //prints the same values

        }
        while (fabs(n)> 0.00001);
return sum;
}

我注意到内部\sin有一些引理,例如-1<=\sin(x)<=1, \cos^2(x)+\sin^2(x)==1等,但是对于\result==\sin(x)返回函数,我们无法证明sin(x)。还是我在这里错了?

2 个答案:

答案 0 :(得分:3)

我将回答您问题的第一部分。问题出在公理InnerProductNext,更确切地说,在InnerProduct(a, b, n + 1, init) == InnerProduct(a, b, n, init) + a[n] * b[n]。 ACSL规范使用实数运算,而函数使用32位浮点计算。由于在C函数中发生舍入,因此无法获得证明。修复非常简单:在引理中适当舍入所有操作。

  axiom InnerProductNext:
    \forall float *a, *b, init, integer n;
    n >= 0 ==>
    InnerProduct(a, b, n + 1, init) ==
    (float)(InnerProduct(a, b, n, init) + (float)(a[n] * b[n]));

这足以证明成功。

答案 1 :(得分:2)

关于您问题的第二部分,关于ACSL公理学的语义似乎存在一些深刻的误解。特别是:

  • 您的SinnnEmpty公理基本上是说,对于任何xsum,我们都有Sinnn(x,sum,0,0,0) == sum(基本上,我刚刚实例化了current,{ {1}}和ii_max,这意味着蕴含的左侧为true)。不太可能是您想在那说的
  • 0是重言式。实际上,在全局注释中,SinnnMemCmp的构造和逻辑标签旨在说明 C 变量和内存位置。在这里,您只有纯粹的逻辑变量受通用量化约束:它们是不可变的,并且不依赖于C内存状态,也就是说,它们的值不依赖于逻辑标签。

最后,一旦您从ACSL角度对\at()应该做什么所做的定义进行了整理(即,玩着愉快地忽略舍入问题的数学实数),您将面临尝试检查的问题当使用有限精度浮点数进行计算时,适用于此数学级别的结果仍然适用。这通常是一项艰巨的任务,并不是所有的自动化证明都对浮点计算有很好的支持(有关更多信息,请参见例如this document)。

相关问题
最新问题