Ragionamento su loop di terminazione non deterministicamente

Ecco una domanda "traccia B" se ce n'è mai stata una. Riepilogo: la prima cosa a cui penso quando provo a dare una semantica a programmi non deterministici si traduce in una semantica in cui non posso provare cose su loop che terminano solo in modo non deterministico. Sicuramente qualcuno ha capito cosa fare in questa situazione, o almeno ha sottolineato che è difficile, ma non so come cercarlo (da qui il tag "richiesta di riferimento").

sfondo

Voglio modellare un linguaggio while con non determinismo. Penso che questo sia il modo ovvio (o almeno l'ingenuo) di modellare un linguaggio del genere con un powerdomain di Smyth, ma correggimi se sbaglio. Modelleremo il significato di un comando in questo linguaggio come una funzione il cui dominio è l'insieme $S$ degli stati e il cui codice è l'insieme ${\cal P}(S)_\bot = \{ \bot \} \cup {\cal P}(S)$ , dove $\bot$ è un elemento minimo che rappresenta la non terminazione e ${\cal P}(S)$ è il gruppo di potere degli stati.

Interpretiamo i comandi come mappe dagli stati $\sigma$ all'evento di non terminazione $\bot$ o ad insiemi di stati che rappresentano possibili esiti. è una scelta non deterministica. $\{ \sigma_1, \sigma_2, \ldots \}$ $P \circledast Q$

$⟦\mathbf{skip}⟧\sigma = \{ \sigma \}$
$⟦x := E⟧\sigma = \{ \sigma[(⟦E⟧\sigma)/x] \}$
$⟦\mathbf{abort}⟧\sigma = \bot$
$⟦\mathbf{if}~E~\mathbf{then}~P~\mathbf{else}~Q⟧\sigma = ⟦P⟧\sigma$ se $⟦E⟧\sigma = \mathit{true}$ , altrimenti $⟦Q⟧\sigma$
$⟦P \circledast Q⟧\sigma = \bot$ se $⟦P⟧\sigma = \bot$ o $⟦Q⟧\sigma = \bot$ , altrimenti $⟦P⟧\sigma \cup ⟦Q⟧\sigma$
$⟦P; Q⟧\sigma = \bot$ se o per alcuni , altrimenti $⟦P⟧\sigma = \bot$ $⟦Q⟧\tau = \bot$ $\tau \in ⟦P⟧\sigma$ $\bigcup_{\tau \in ⟦P⟧\sigma} ⟦Q⟧\tau$

Esiste un ordine parziale completo diretto , in cui per qualsiasi e se sia che sono set corretti e , e possiamo estenderlo alle funzioni da a puntualmente: se per ogni e è la funzione che mappa ogni stato a . $\sqsubseteq$ $\bot \sqsubseteq S'$ $S' \in {\cal P}(S)_\bot$ $S_1 \sqsubseteq S_2$ $S_1$ $S_2$ $S_1 \supseteq S_2$ $f$ $S$ ${\cal P}(S)_\bot$ $f_1 \sqsubseteq f_2$ $f_1(\sigma) \sqsubseteq f_2(\sigma)$ $\sigma$ $f_\bot$ $\bot$

Il significato di un ciclo è è il limite inferiore minimo della catena , dove se , altrimenti se or per alcuni , altrimenti . (Questa definizione presuppone che la ho appena definito sia Scott continua, ma penso che sia sicuro lasciarlo da parte.) $⟦\mathbf{while}~E~\mathbf{do}~P⟧\sigma$ $f_\bot \sqsubseteq f(f_\bot) \sqsubseteq f(f(f_\bot)) \sqsubseteq \ldots$ $f(g)(\sigma) = \{\sigma\}$ $⟦E⟧(\sigma) = \mathit{false}$ $\bot$ $⟦P⟧\sigma = \bot$ $g(\tau) = \bot$ $\tau \in ⟦P⟧\sigma$ $\bigcup_{\tau \in ⟦P⟧\sigma}g(\tau)$ $f$

Domanda

Considera questo programma:

$x := 0;$
$b := \mathsf{true};$
$\mathbf{while}~b~\mathbf{do}$
$\qquad x := x + 2;$
$\qquad b := \mathsf{false} \circledast b := \mathsf{true}$

Intuitivamente, questo è un ciclo che può restituire qualsiasi numero pari positivo o non terminare e che corrisponde a ciò che possiamo provare su questo ciclo usando il presupposto liberale più debole (è possibile mostrare che è un ciclo invariante). Tuttavia, poiché il ciclo ha la capacità di non terminare (possiamo raffinare la scelta non deterministica dal programma che prende sempre il ramo di destra), il significato di questo programma dato qualsiasi stato iniziale è . (Meno informalmente: la funzione che mappa qualsiasi stato in cui è falso a se stesso e qualsiasi stato in cui è fedele a è un punto fisso di utilizzato per definire il ciclo.) $\exists n. x = 2n$ $\bot$ $b$ $b$ $\bot$ $f$

Ciò significa che la semantica ingenua che ho proposto non corrisponde al modo in cui mi aspetto di poter ragionare sui programmi. Incolpo la mia semantica, ma non so come risolverli.

reference-request denotational-semantics

— Rob Simmons
fonte

Penso che utilizzando come il codominio del significato di un programma, si è effettivamente rinunciato a ragionare nulla di un programma che può divergere. Un pensiero ingenuo è usare , ma non so se questo introdurrà un altro problema.

{⊥} \cup P (S)

$\{ \bot \} \cup \mathcal{P}(S)$

P (S \cup {⊥})

$\mathcal{P}(S \cup \{ \bot \})$

— Tsuyoshi Ito,

Sì, hai assolutamente ragione a guardare il set è già evidente che la speranza è persa anche prima di arrivare all'esempio. Il tuo suggerimento è arrivato anche a me, ma penso che in questo esempio finirai con lo stesso problema se il potenziale non-termine è modellato da non , e se abbiamo scelto quest'ultimo che interferirebbe con la nostra capacità di dare un significato ad un loop come un punto minimo fisso nel solito modo.

{⊥} \cup P (S)

$\{ \bot \} \cup \mathcal P(S)$

S \cup {⊥}

$S \cup \{ \bot \}$

{⊥}

$\{ \bot \}$

— Rob Simmons,

Hai visto Dynamic Logic? La semantica è data in termini di relazioni tra stati e stati, e puoi usare la logica per ragionare sulla correttezza parziale e totale, vale a dire le proprietà dei calcoli che terminano e che tutti i calcoli terminano con una data proprietà.

— Dave Clarke,

Non ho pensato alla logica dinamica in questa impostazione, ma vedo come potrebbe essere rilevante: vedrò cosa pensano Platzer e i suoi studenti quando tornerò a Pittsburgh.

— Rob Simmons,

In [dB80] è stato dimostrato che l'analisi di Hitchcock e Park delle proprietà di terminazione della ricorsione corrisponde a un'analisi semantica basata sulla cosiddetta interpretazione Egli-Milner delle relazioni [Egl75, Plo76], che esprime un non determinismo irregolare . Questa nozione cattura che un'unione non deterministica di relazioni è corretta se genera almeno un calcolo che porta ad un risultato desiderato (anche in presenza di un calcolo non terminale). Questo sembra corrispondere a quello che stai cercando di fare.

Successivamente caratterizza il significato di un'istruzione come funzione mappa ogni stato iniziale su un insieme di stati non vuoto, possibilmente contenente , in modo tale che sia rigoroso nel senso che . La scelta non deterministica tra le affermazioni e è descritta dalla funzione che mappa ogni stato iniziale all'unione dei singoli risultati . Pertanto, ogni volta che o $S$ $f_S$ $\sigma$ $\bot$ $f_S$ $f_S(\bot) = \{\bot\}$ $S_1$ $S_2$ $\sigma$ $f_{S_1} (\sigma) \cup f_{S_2} (\sigma)$ $S_1$ $S_2$ ha la possibilità non deterministica di produrre un risultato indesiderabile, quindi anche la loro scelta non deterministica. Come l'insieme risultante di stati finali si ottiene in questa analisi il cosiddetto gruppo di stati Egli-Milner:

${\cal P}_{\text{E--M}}(S) = \{ ~s\subseteq S_\bot ~|~ s$ è finito e non vuoto, o contiene $\bot\}$

Perché infiniti sottoinsiemi di non sono considerati possibili insiemi di stati finali in questo modello? Partendo dal presupposto che tutti i mattoni elementari dei termini relazionali producono solo insiemi finiti e non vuoti di possibili stati finali, un insieme infinito di possibili stati finali può essere generato solo quando è possibile un calcolo infinito. Questo può essere visto come segue. Strutturare l'insieme di tutti i possibili calcoli a partire da un dato stato come un albero con root e gli stati come nodi. L'insieme delle foglie è quindi esattamente l'insieme dei possibili stati finali raggiungibili da , ad eccezione di $S$ $\sigma_0$ $\sigma_0$ $\sigma_0$ $\bot$ , che potrebbe mancare tra le foglie ma è rappresentato nell'insieme degli stati finali dal fatto che esiste un percorso infinito nell'albero. Partendo dal presupposto sopra, e poiché è disponibile solo una scelta non deterministica finita, questo albero si sta ramificando finitamente. Pertanto, esiste solo un numero finito di foglie a una data profondità finita. Di conseguenza un numero infinito di possibili stati finali può essere generato solo in presenza di un calcolo infinito (un'applicazione del lemma di König [Kön32]).

$({\cal P}_{\text{E--M}}(S),\sqsubseteq_{\text{E--M}})$ è un poset per definito da: per , $\sqsubseteq_{\text{E--M}}$ $s,t\in{\cal P}_{\text{E--M}}(S)$

$s\sqsubseteq_{\text{E--M}} t\quad = \quad (\bot\in s \land s\setminus\{\bot\}\subseteq t) \lor (\bot\notin s \land s=t)~.$

Qui, può essere visto come un segnaposto attraverso il quale -grande serie possono essere generate inserendo più stati al posto di . Pertanto, è il minimo elemento di . Inoltre, il poset possiede lub's per -chains. Allo stesso modo, le rigide funzioni da a sono parzialmente ordinate dall'estensione puntuale di . Inoltre, la funzione meno importante è $\bot$ $\sqsubseteq_{\text{E--M}}$ $\bot$ $\{\bot\}$ $({\cal P}_{\text{E--M}}(S),\sqsubseteq_{\text{E--M}})$ $({\cal P}_{\text{E--M}}(S),\sqsubseteq_{\text{E--M}})$ $\omega$ $S\cup\{\bot\}$ ${\cal P}_{\text{E--M}}(S)$ $\sqsubseteq_{\text{E--M}}$ $\lambda\sigma.\{\bot\}$ Esistono anche e lub's of -chains di tali funzioni. $\omega$

[dB80] JW de Bakker. Teoria matematica della correttezza del programma . Prentice Hall, 1980.

[Egl75] H Egli. Un modello matematico per calcoli non deterministici. Rapporto tecnico, ETH Zurigo, 1975.

[Kön32] D König. Theorie der endlichen und unendlichen Graphen. Rapporto tecnico, Lipsia, 1932.

[Plo76] GD Plotkin. Una costruzione powerdomain. SIAM Journal on Computation , 5 (3): 452-487, 1976.

Disclaimer: questo è tratto quasi alla lettera da un libro che una volta ho scritto:

WP de Roever e K Engelhardt. Affinamento dei dati: metodi di prova orientati al modello e loro confronto . Cambridge University Press, 1998.

— Kai
fonte

La frase "questo è preso quasi verbalmente da un libro che una volta ho scritto" dovrebbe probabilmente essere preceduta da "Extra Awesomeness:" non "Disclaimer:" :-D. Grazie, è molto utile

— Rob Simmons,

Un modo di vedere il non determinismo (e il modo in cui voglio vederlo) è che si tratta di una forma di sotto specificazione - un programma con una scelta non deterministica è raffinato dal programma che prende sempre la prima scelta, prende sempre la seconda scelta, o (vedi il vasto lavoro di McIver e Morgan in questa particolare area) il programma che prende una scelta o l'altra con probabilità .5 . Quindi il ciclo che non termina in modo non deterministico viene perfezionato dal ciclo che non termina mai , e anche dal tuo giro di gettoniera che termina (con probabilità 1)

— Rob Simmons