形式化驗證入門

課程目標

針對形式化驗證的學習，導讀相關符號和背景知識
探討
$H o a r e L o g i c$ ,
$S A T / S M T$ ,
$M o d e l C h e c k i n g$ 皆會用到最基本的邏輯 (Propositional Logic)
每段都有工具示範和習題

Propositional Logic

\land

(

\color b l u e c o n j u n c t i o n

) 意思是「且」

\lor

(

\color b l u e d i s j u n c t i o n

) 意思是「或」

P ⊢ Q

的意思就是「從

P

證

Q

」

P ⊨ Q

代表「

P

為 True 的情況下 ,

Q

成立」的意思

在上述兩組符號中，我們將

$P$ 稱為
$\color b l u e p r e m i s e s$ (假定，假設；前提)
$Q$ 稱為
$\color b l u e c o n c l u s i o n$ (結論；推論)

每個

l o g i c f o r m u l a

都有語義，也就是真 (

T r u e

) 與假 (

F a l s e

)

$\land$ 與
$\lor$ 的消去規則與推導規則

\land

消去規則 (elimination proof rule)

$\frac{A \land B}{A} \land e_{1}$

$\frac{A \land B}{B} \land e_{2}$

推導規則 (introduction proof rule)

$\frac{A B}{A \land B} \land i$

\lor

消去規則 (elimination proof rule)

$\frac{A \lor B A . . . C B . . . C}{C} \lor e$

推導規則 (introduction proof rule)

$\frac{A}{A \lor B} \lor i_{1}$

$\frac{B}{A \lor B} \lor i_{2}$

手寫
$A \land (B \lor C) ⊢ (A \land B) \lor (A \land C)$ 證明

手寫示範

$\land$ 與
$\lor$ 的真值表

\land


$P$	$Q$	$P \land Q$
T	T	T
T	F	F
F	T	F
F	F	F

\lor


$P$	$Q$	$P \lor Q$
T	T	T
T	F	T
F	T	T
F	F	F

\Rightarrow

\Rightarrow

是推導 (

\color b l u e I m p l i c a t i o n

)


$P$	$Q$	$P \Rightarrow Q$
T	T	T
T	F	F
F	T	T
F	F	T

$A \land (B \lor C) ⊢ (A \land B) \lor (A \land C)$ 的真值表

A \land (B \lor C) ⊢ (A \land B) \lor (A \land C)

可看成

A \land (B \lor C) \Rightarrow (A \land B) \lor (A \land C)


$A$	$B$	$C$	$B \lor C$	$\color b l u e A \land (B \lor C)$	$A \land B$	$A \land C$	$\color r e d (A \land B) \lor (A \land C)$	$\color b l u e A \land (B \lor C) \color g r e e n \Rightarrow \color r e d (A \land B) \lor (A \land C)$
T	T	T	T	$\color b l u e T$	T	T	$\color r e d T$	$\color g r e e n T$
T	T	F	T	$\color b l u e T$	T	F	$\color r e d T$	$\color g r e e n T$
T	F	T	T	$\color b l u e T$	F	T	$\color r e d T$	$\color g r e e n T$
T	F	F	F	$\color b l u e F$	F	F	$\color r e d F$	$\color g r e e n T$
F	T	T	T	$\color b l u e F$	F	F	$\color r e d F$	$\color g r e e n T$
F	T	F	T	$\color b l u e F$	F	F	$\color r e d F$	$\color g r e e n T$
F	F	T	T	$\color b l u e F$	F	F	$\color r e d F$	$\color g r e e n T$
F	F	F	F	$\color b l u e F$	F	F	$\color r e d F$	$\color g r e e n T$

所以

A \land (B \lor C) ⊨ (A \land B) \lor (A \land C)

Soundness 與 Completeness

Soundness (健全性)

在一個公理化系統中，如果一個

P ⊢ Q

是有效的 (證明存在)，就有

P ⊨ Q

，這樣的特性稱為

S o u n d n e s s

Completeness (完備性)

Completeness 則是反過來，在一個公理化系統下，如果有

P ⊨ Q

，那麼

P ⊢ Q

就有個證明

小總結

對

P r o p o s i t i o n a l L o g i c

來說，是既

S o u n d n e s s

也

C o m p l e t e n e s s

在這兩個性質的形式化公理系統中，驗證一個

l o g i c f o r m u l a

, 可從算真假值，也可從寫證明下手，兩種方法有相同的效果

Isabelle/HOL 示範
$A \land (B \lor C) ⊢ (A \land B) \lor (A \land C)$ 證明

Isabelle/HOL 介紹

Isabelle/HOL 提供以下:

$λ$ 演算 (
$T y p e d λ 演算$ )

Week 1, Mon: intro 第 20 頁

If I prove it on the computer, it is correct, right?
No, because:

hardware could be faulty
operating system could be faulty
implementation runtime system could be faulty
compiler could be faulty
implementation could be faulty
logic could be inconsistent
theorem could mean something else

需要 Type 是因為第 6 個理由:

logic could be inconsistent

Type 可減少 logic 產生自相矛盾的情況

檢查在某個公理化系統下的證明

能檢查證明，自然就可定義公理化系統

延伸閱讀: 一些公理化系統例子

以下案例說明

λ

演算和 type 的影響

λ

演算:

term "(λy. x y) t"

type:

lemma "1+2=3"
apply arith

Isabelle/HOL 內
$\land$ 與
$\lor$ 的 proof rule

$\land$ rule

$c o n j I : [| A; B |] \Rightarrow A \land B c o n j E : [| A \land B; [| A; B |] \Rightarrow C |] \Rightarrow C$

$\lor$ rule

$d i s j I 1 : A \Rightarrow A \lor B d i s j I 2 : A \Rightarrow B \lor A d i s j E : [| A \lor B; A \Rightarrow C; B \Rightarrow C |] \Rightarrow C$

證明腳本

theory Example imports Main 
begin
  
lemma "A∧(B∨C)⟹(A∧B)∨(A∧C)"
  apply(erule conjE)
  apply (erule disjE)
   apply (rule disjI1)
   apply (rule conjI)
    apply assumption
   apply assumption
  apply (rule disjI2)
  apply (rule conjI)
   apply assumption
  apply assumption
  done
end

練習題

P \land Q ⊢ Q \land P

參考解答

參考資訊

SAT/SMT

Conjunctive Normal Form (CNF)

$(A \lor B) \land (c = 2) \land (g > 8)$

像以上的

\color b l u e l o g i c f o r m u l a

中間每個 form 都用

\land

連接起來，稱為 Conjunctive Normal Form (CNF)

$T_{E}$ 理論

Σ_{E} : {=, a, b, c, . . ., p, q, r}

= 是等號的意思
$a, b, c, . . ., p, q, r$ 是 logic formula
$T_{E}$ 的
$E$ 代表
$E q u a l i t y$
$Σ_{E}$ 指的是符號集合

$T_{E}$ 理論公理

Reflexivity (反身性):
$\color b l u e \forall x . x = x$
Symmetry (對稱性):
$\color b l u e \forall x, y . x = y \Rightarrow y = x$
Transitivity (遞移性):
$\color b l u e \forall x, y, z . x = y, y = z \Rightarrow x = z$
Function congruence (功能一致性):

$\color b l u e \forall x_{1}, \forall x_{2}, . . ., \forall x_{n} . \underset{i = 1}{\overset{n}{\land}} (x_{i} = y_{i}) \Rightarrow f (x_{1}, . . ., x_{n}) = f (y_{1}, . . ., y_{n})$

等價關係 (
$\color b l u e E q u i v a l e n c e R e l a t i o n$ )

Reflexivity (反身性):
$\color b l u e \forall x . x = x$
Symmetry (對稱性):
$\color b l u e \forall x, y . x = y \Rightarrow y = x$
Transitivity (遞移性):
$\color b l u e \forall x, y, z . x = y, y = z \Rightarrow x = z$

T_{E}

理論公理前 3 條，就是所謂的等價關係。注意到

\color b l u e =

是一種等價關係

等價類 (
$\color b l u e E q u i v a l e n c e C l a s s$ )

一個集合，給定一個等價關係，可把這集合分割成數個子集合，而子集合內的任兩個元素都滿足給定的等價關係，這樣的子集合稱為等價類

舉個例子:

集合

{a, b, c, d, e}

假如

a = b, b = c, d = e

那可以分割成兩個等價類:

{a, b, c}, {d, e}

可看到

a = b = c, d = e

$T_{E}$ 可滿足性的演算法

可滿足的意思：在某個前提，logic formula 是成立的 (

P ⊨ Q

)

可滿足性就是討論

P ⊨ Q

或

P ⊭ Q

的問題
這邊所講的演算法，會利用上面的等價類

舉例說明:

$f^{3} (a) = a \land f^{5} (a) = a \land f (a) \neq a$

手寫示範

z3 驗證 C 程式

z3 介紹

z3下載

在 z3 的 build 目錄下，輸入以下命令:

./z3 -in

隨後可進入命令交談模式。

z3 使用案例

(declare-const a Int)
(declare-const b Int)
(declare-const c Int)
(assert(and (and (= a b) (= b c)) (= a c)))
(check-sat)

輸出

\color b l u e s a t

，代表滿足

(declare-const a Int)
(assert(and (> a 10) (< a 5)))
(check-sat)

輸出

\color r e d u n s a t

，代表不滿足

驗證 C 程式

int show(int x) {
    if (x < 10)
        x = x - 1;

    assert(x != 9);
    return 0;
}

驗證 show 函式時，帶入任意的 int 數值，執行不會出現 assert 錯誤訊息

C code to SSA form

SSA 是 Static Single Assignment
SSA 最主要的用途，是藉由簡化變數的特性，提升編譯器最佳化的能力。舉例來說：

 y := 1
 y := 2
 x := y

不難見到，第一行變數的數值指派並非必要，因為 y 在第二行再次指派，y 的數值在第三行被使用，一個程式通常會進行定義可達性分析 (reaching definition analysis) 來測定。在 SSA 下，將會變成以下形式：

y₁ := 1
y₂ := 2
x₁ := y₂

其中 y₁ 表示第 1 次變數 y 的數值指派，y₂ 表示第 2 次，後者又用於變數 x 的第 1 次指派。顯然 y₁ 沒被用到，所以編譯器可輕易消除。

再者考慮以下形式:

由於涉及分支指令，w₂ 的數值指派究竟是圖片左邊的 y₁，還是右邊的 y₂ 呢？編譯器不能貿然確認，這時就引入

ϕ

函數，根據程式運作的路徑來選擇 y₁ 或 y₂

首先把 C 程式轉成 SSA 形式:

int show(int x0) {
    if (x0 < 10)
        x1 = x0 - 1;

    x2 = phi(x0, x1)
    assert(x2 != 9);

    return 0;
}

phi 為

ϕ

函數

SSA form to SMT Formula

$(x 0 < 10 \land x 1 = x 0 - 1 \land x 2 = x 1 \land x 2 = 9) \lor (x 0 \geq 10 \land x 2 = x 0 \land x 2 = 9)$

assert 內是

\color r e d x 2! = 9

這不是

T_{E}

可接受的

l o g i c f o r m u l a

所以轉為算

\color b l u e x 2 = 9

然後是兩個 CNF 用

\lor

連接

由 =

\lor

== 的真值表，要算兩次的 SMT

先算

(x 0 < 10 \land x 1 = x 0 - 1 \land x 2 = x 1 \land x 2 = 9)

再算

(x 0 \geq 10 \land x 2 = x 0 \land x 2 = 9)

只要其中一個是滿足，整個

l o g i c f o r m u l a

就滿足了
整個

l o g i c f o r m u l a

滿足 , 那就代表執行會有錯誤訊息

來看寫成的z3 code是如何

$(x 0 < 10 \land x 1 = x 0 - 1 \land x 2 = x 1 \land x 2 = 9)$

(declare-const x0 Int)
(declare-const x1 Int)
(declare-const x2 Int)
(assert(and (and (< x0 10) (= x1 (- x0 1))) (and (= x2 x1) (= x2 9) ) ))
(check-sat)

$(x 0 \geq 10 \land x 2 = x 0 \land x 2 = 9)$

(declare-const x0 Int)
(declare-const x1 Int)
(declare-const x2 Int)
(assert(and (or (= x0 10) (> x0 10)) (and (= x2 x0) (= x2 9) ) ))
(check-sat)

結果:

$ ./z3 -in
(declare-const x0 Int)
(declare-const x1 Int)
(declare-const x2 Int)
(assert(and (and (< x0 10) (= x1 (- x0 1))) (and (= x2 x1) (= x2 9) ) ))
(check-sat)
unsat

不滿足

$ ./z3 -in
(declare-const x0 Int)
(declare-const x1 Int)
(declare-const x2 Int)
(assert(and (or (= x0 10) (> x0 10)) (and (= x2 x0) (= x2 9) ) ))
(check-sat)
unsat

也是不滿足

因此兩者在執行不會出現 assert 錯誤訊息

對照 C 程式編譯後的執行結果:

#include <assert.h>
#include <stdio.h>
#include <stdlib.h>

int show(int x) {
    if (x < 10)
        x = x - 1;

    assert(x != 9);	
    return 0;
}

int main() {
    show(3);
    return 0;
}

結果:

$ gcc -o test test.c 
$ ./test
$

果然沒出現 assert 錯誤訊息，我們可見到形式化驗證的威力：在不需要執行程式的狀況下，充分檢驗各種輸入造成的影響。

在軟體缺失導致的危害提到 1970 年代推出的首款廣體民航客機波音 747 軟體由大約 40 萬行程式碼構成，而 2011 年引進的波音 787 的軟體規模則是波音 747 的 16 倍，約 650 萬行程式碼。換言之，你我的性命緊繫於一系列極為複雜的軟體系統之中，如果程式開發者總是撰寫程式碼後，只用上述有限的數值輸入並對結果，勢必無法顧及全面，難保日後不出問題，這也是為何形式化驗證大量用於航空和醫療這類關鍵的領域中。

練習題







int show(int x) {
    if (x <= 10)
        x = x - 1;

    assert(x != 9);
    return 0;
}

當輸入某個整數值時，執行會出現 assert 錯誤訊息

參考解答

參考資料

tags: `formal verification`

Wei-Lun Tsai

2021/03/14 08:06:31

在一個公理化系統中，如果一個 ==$P \vdash Q$== 是有效的 (證明存在)，就有 ==$P \vDash Q$==，這樣的特性稱為$Soundness$

如果我們能僅透過已知的 proof rules 導出 P⊢Q 的結論，那麼當 P 是對的時候，Q 也必定是對的。 (Edited)

2021/03/14 08:09:55

Completeness (完備性) Completeness 則是反過來，在一個公理化系統下，如果有 ==$P \vDash Q$==，那麼 ==$P \vdash Q$== 就有個證明

如果 P 是對的時候，Q 也必定是對的，那麼我們一定能僅透過 proof rules 就能推導出 P⊢Q 的結論。 (Edited)

proof.K

2021/03/28 12:06:21

感謝補充

2021/03/28 12:08:08

感謝補充 (Edited)