Programmverifikation

Beispiel:  Das folgende Programm berechnet das Maximum von zwei Werten a und b, das Ergebnis ist m.

Die Nach­bedingung Q des Programms ist

Q:   m = max(a, b)

 

Wir führen nun zwei getrennte Beweise für die beiden Prämissen, und zwar zunächst   {P ∧ B} m=a; {Q}   und dann   {P ∧ ¬B} m=b; {Q}   mit

B:    a > b

 

Prämisse If1:  If-Teil

Zuerst zeigen wir {P ∧ B} m=a; {Q}.

Der Beweis wird von unten nach oben geführt, unter Benutzung der Wert­zuweisungsregel und der Konsequenz­regel. Es stellt sich heraus, dass P: true die schwächste Vorbedingung für diesen Zweig ist.

	{ P  ∧  B }	(8)
	{ true  ∧  a > b }	(7)
	{ a > b }	(6)
	{ a > b  ∨  a = b }	(5)
	{ a ≥ b }	(4)
	{ a = max(a, b) }	(3)
	m=a;
	{ m = max(a, b) }	(2)
	{ Q }	(1)

Die Konsequenz­regel ermöglicht das Verschärfen von Bedingungen nach oben hin. Beim Übergang von Schritt (5) zu Schritt (6) haben wir davon Gebrauch gemacht und die Bedingung durch Weglassen einer Oder-Bedingung verschärft. Beim Übergang von Schritt (6) zu Schritt (7) haben wir die Bedingung durch Hinzufügen einer Und-Bedingung verschärft ¹).

Prämisse If2:  Else-Teil

Als nächstes zeigen wir {P ∧ ¬B} m=b; {Q}.

Auch hier ergibt sich P: true als schwächste Vorbedingung.

	{ P  ∧  ¬B }	(8)
	{ true  ∧  ¬ a > b }	(7)
	{ ¬ a > b }	(6)
	{ a ≤ b }	(5)
	{ b ≥ a }	(4)
	{ b = max(a, b) }	(3)
	m=b;
	{ m = max(a, b) }	(2)
	{ Q }	(1)

 

Nachdem wir diese beiden Beweise getrennt geführt haben, können wir aufgrund der Schlussregel für die If-Anweisung folgern

{ true } if (a>b) m=a; else m=b;  { m = max (a, b) }

d.h. wir haben bewiesen, dass ohne irgendeine besondere Vorbedingung (außer der Bedingung true, die immer wahr ist) das Programm das Gewünschte tut.

Aufgabe 1:  Folgendes Programm­stück ist gegeben:

Geben Sie die schwächste Vorbedingung P für die Nach­bedingung Q:  a ≤ b  an.

Aufgabe 2:  Entwickeln Sie eine vereinfachte Schlussregel für die If-Anweisung ohne Else-Teil.