\documentclass[submit,PRO]{ipsj}
\usepackage{PROpresentation}
\PROheadtitle{y-n-(x): 情報処理学会プログラミング研究会 発表資料 Y年m月d日}

\usepackage{graphicx}
\usepackage{latexsym}

\def\Underline{\setbox0\hbox\bgroup\let\\\endUnderline}
\def\endUnderline{\vphantom{y}\egroup\smash{\underline{\box0}}\\}
\def\|{\verb|}

\setcounter{巻数}{57}
\setcounter{号数}{1}
\setcounter{page}{1}


\受付{2015}{3}{4}
%\再受付{2015}{7}{16}   %省略可能
%\再再受付{2015}{7}{20} %省略可能
\採録{2015}{8}{1}




\begin{document}


\title{Continuation based C を用いたプログラムの検証手法}
\etitle{Verification method of programs using Continuation based C}

\affiliate{RUnivIe}{琉球大学 大学院 理工学研究科 情報工学専攻\\
Infomation Engineering Course Graduate School of Engineering and Science University of the Ryukyus}
\affiliate{RUniv}{琉球大学\\
University of the Ryukyus}


\author{比嘉 健太}{Yasutaka HIGA}{RUnivIe}[atton@cr.ie.u-ryukyu.ac.jp]
\author{河野 真治}{Shinji KONO}{RUniv}[kono@ie.u-ryukyu.ac.jp]

\begin{abstract}
% TODO: update
Continuation based C 言語によって記述されたプログラムのデータ構造の性質を検証する手法を提案する。
Continuation based C とは当研究室が提案している Code Segment, Data Segment という単位でプログラムを記述する言語である。
Code Segment とは処理の単位であり、データの単位である Data Segment を入力と出力に持つ。
プログラム全体は Code Segment どうしの接続により表現され、あるCode Segment の出力は接続された次の Code Segment の入力となる。
また、メモリ管理やエラーの処理など、本来中心に行ないたい処理と異なる処理はメタ計算として分離し、Meta Code Segment, Meta Data Segment として記述する。
Code Segment の接続処理を Meta Code Segment として表現し、接続部分に検証を含めることで 元の Code Segment を変更することなくプログラムの検証を行なう。
本論文では Continuatoin based C によって記述された赤黒木や Synchronized Queue といったデータ構造の性質を検証する。
\end{abstract}


\begin{jkeyword}
プログラミング言語, 検証, 赤黒木
\end{jkeyword}

\begin{eabstract}
% TODO: update
We propose a verification method for programs using Continuation based C language.
Our laboratory develops Continuation based C language which supports programming unit called Code Segment, Data Segment.
Code segments are calculation units which have input/output data segments that data unit.
Programs are represented by connections among with code segments and code segments.
The output data segment of some code segment is converted to the input data segment of connected one.
We introduce meta computations which split main computations and complicated computations such as memory control, error handling and more.
Meta computations represented to meta code segment and meta data segment, which saves main computations.
In this paper, We define a meta computation which connects code segments with verifications and verify properties of data structures such as Red-Black Tree and Synchronized Queue.
\end{eabstract}

\begin{ekeyword}
Programming Language, Verification, Red-Black Tree
\end{ekeyword}

\maketitle

\section{コードセグメントとデータセグメント}
本研究は実際に動作するプログラムの信頼性を保証することを目的とする。
プログラムの信頼性とは、定められた環境下においてプログラムの動作が必ず仕様を満たすことである。
プログラムが仕様を満たすことを保証する手法として、プログラムの性質を証明する手法やプログラムの状態を全て数えあげるモデルチェッカなどが存在する。 % TODO ref
しかし、証明では実際に動作するコードでなく証明用にコードを書き直したり、モデルチェッカでは高速化のために抽象化した記号実行によって性質が検証されるなど、実際に動作するコードとの乖離が発生してしまう。

実際に動作するコードを検証しやすいよう、本研究室ではコードセグメントとデータセグメントを用いるプログラミングスタイルを提案している。 % TODO ref?
コードセグメントとは処理の単位であり、ループを含まない単純な処理のみを行なう。
プログラムはコードセグメントどうしを組み合わせることにより構築される。
組み合わせる際のコードセグメント間における値の受け渡しにはデータセグメントを用いる。
データセグメントとはデータの単位である。
なお、接続されたコードセグメントには依存関係が発生するが、依存関係が無いコードセグメントは並列に実行することが可能である。

% TODO cs/ds の図

ここで、コードセグメントどうしの接続処理について考える。
処理を表すコードセグメントの接続も処理であるため、コードセグメントで表現できる。
このように、計算を実現するための計算をメタ計算と呼び、メタ計算を行なうコードセグメントをメタコードセグメントと呼ぶ。
メタコードセグメントはコードセグメント間に存在する処理と考えることもできる。
また、メタ計算に必要なデータはメタデータセグメントに格納する。
プログラムの性質を検証する機能をメタ計算として提供することで、ユーザが書いたコードセグメントを変更することなく、メタコードセグメントを切り替えるだけでプログラムの信頼性を上げることができる。

\section{Continuation based C}
コードセグメントとデータセグメントを用いたプログラミングスタイルで記述言語に Continuation based C 言語が存在する。 % TODO ref
Continuation based C (以下 CbC)はOSや組込みシステムなどの記述を行なうことを目標に作られた、アセンブラとC言語の中間のような言語である。 % TODO 要出典
CbC におけるコードセグメントはC言語における関数に、関数呼び出しが末尾のみである制約を加えようなものである。
コードセグメントどうしの接続は goto によって表される。

% TODO: かんたんな goto program

また、データセグメントは構造体と共用体を用いたデータ構造を用いる。

CbC におけるメタコードセグメントは goto する際に必ず通るコードセグメント(以下の例では \verb/meta/ がそれにあたる)として表現される。

% TODO: meta を使った program
メタコードセグメントの切り替えは \verb/meta/ の切り替えで表現できる。
メタデータセグメントはデータセグメントをフィールドに持つ構造体として表現できる。

CbC におけるメタ計算の例にメモリ管理がある。
メモリの確保やポインタ演算をメタコードセグメントのみで行なうことで、コードセグメント側ではメモリに由来するエラーを排除することができる。
また、メタ計算を切り替えることでメモリの管理方法も切り替えることができるため、不要な領域の開放するよう拡張することも容易である。

\section{メタ計算を用いたデータ構造の性質の検証}
CbC で記述されさデータ構造と、データ構造に対する処理の性質を実際に検証する。
検証の対象として、当研究室で CbC を用いて開発している Gears OS における非破壊赤黒木を用いる。
赤黒木とは木構造を持ったデータ構造であり、各ノードに赤と黒の色を割り当て、その色を用いて木の高さのバランスを取る。
また、非破壊であるため木にデータを挿入、削除した際に過去の木は変更されない。
非破壊赤黒木に求められる性質には、挿入したデータを参照できること、削除できること、値の更新ができること、操作を行なった後の木はバランスしていること、などが存在する。
本論文では任意の順番で木に要素を挿入しても木がバランスしていることを検証する。

まず、検証を行なうために満たすべき仕様を定義する。
仕様はデータ構造が常に満たすべき論理式として表現し、CbC のコードで記述する。
検証する仕様として、木を根から辿った際に最も長い経路は最も短い経路の高々2倍に収まることを CbC で定義する。
% TODO code
定義した仕様に対し、挿入する値と順番の全ての組み合わせに対して確認していく。
また、仕様を満たさない反例が存在する場合はその具体的な組み合わせの値を出力する。

当研究室で開発している検証用メタ計算ライブラリ akasha と、C言語の有限モデルチェッカ cbmc を用いてこの仕様を検証した。
akasha では検証用の仕様をメタコードセグメントに定義する。
検証に必要な木の状態の保持や挿入順番の数え上げといった状態の保持はメタデータセグメントが行なう。
akasha を用いて要素数12個までは任意の順で挿入を行なっても仕様が満たされることを検証した。 % todo: だっけか
また、赤黒木の処理に恣意的にバグを追加した際には反例をきちんとと返した。

CbCは C とほぼ同じ構文を持つため、単純な置換でC言語に変換することができる。
CbCで記述された赤黒木のコードを置換でC言語に変換し、cbmcで検証する。
cbmc における仕様は bool を返すコードとして記述するため、akashaと同じ仕様定義を用いることができる。
任意の順番での挿入の検証にはcbmcの機能に存在する非決定的な入力を用いた。
しかし、cbmcで検証できる範囲内では赤黒木の仕様を検証することはできなかった。
有限モデルチェッカでは探索する状態空間を有限の数で指定し、それを越える範囲は探索しない。
cbmcで実行可能な最大の状態空間まで探索しても、バグを含んだ赤黒木に対する反例を得ることはできなかった。

\section{まとめと今後の課題}
コードセグメントとデータセグメントを用いたプログラミング手法を用いる言語CbCで記述したプログラムに対する仕様の検証を行なうことができた。
メタ計算として検証を行なうことで、実際に動作するプログラムを全く変更することなくプログラムを検証した。

今後の課題として、検証できる範囲の拡大や効率化、値の抽象化などがある。
本論文では入力の組み合わせを全探索するため、過去に探索した形状の木に対しても探索を行なっていた。
木の形状を抽象化することで探索範囲を抑えて高速に検証ができると思われる。
また、抽象度を上げることで有限回でなく無限回の操作も扱いたい。
さらに、検証の際に証明を併用することで抽象化や状態数の削減が行なえると考えている。

\begin{thebibliography}{9}
\bibitem{okumura}
奥村晴彦：改訂第5版 \LaTeXe 美文書作成入門，
技術評論社(2010).

\bibitem{companion}
Goossens, M., Mittelbach, F. and Samarin, A.: {\it The LaTeX Companion},
Addison Wesley, Reading, Massachusetts (1993).

\bibitem{book1}
木下是雄：
理科系の作文技術，
中公新書(1981).

\bibitem{book2}
Strunk, W.J. and White, E.B.: {\it The Elements of Style, Forth Edition},
Longman (2000).

\bibitem{book3}
Blake, G. and Bly, R.W.: {\it The Elements of Technical Writing},
Longman (1993).

\bibitem{book4}
Higham, N.J.:
{\it Handbook of Writing for the Mathematical Sciences},
SIAM (1998).

\bibitem{webpage1}
情報処理学会論文誌ジャーナル編集委員会：
投稿者マニュアル(オンライン)，
\urlj{http://www.ipsj.or.jp/journal/ submit/manual/j\_manual.html}%
\refdatej{2007-04-05}.

\bibitem{webpage2}
情報処理学会論文誌ジャーナル編集委員会：
べからず集(オンライン)，
\urlj{http://www.ipsj.or.jp/journal/\\ manual/bekarazu.html}%
\refdatej{2011-09-15}.

\end{thebibliography}

% TODO: update
\begin{biography}
\profile{m,E}{情報 太郎}{1970年生．1992年情報処理大学理学部情報科学科卒業．
1994年同大学大学院修士課程修了．同年情報処理学会入社．オンライン出版の研究
に従事．電子情報通信学会，IEEE，ACM 各会員．}
%
\profile{n}{処理 花子}{1960年生．1982年情報処理大学理学部情報科学科卒業．
1984年同大学大学院修士課程修了．1987年同博士課程修了．理学博士．1987年情報処
理大学助手．1992年架空大学助教授．1997年同大教授．オンライン出版の研究
に従事．2010年情報処理記念賞受賞．電子情報通信学会，IEEE，IEEE-CS，ACM
各会員．}
%
\profile{h,L}{学会 次郎}{1950年生．1974年架空大学大学院修士課程修了．
1987年同博士課程修了．工学博士．1977年架空大学助手．1992年情報処理大学助
教授．1987年同大教授．2000年から情報処理学会顧問．オンライン出版の研究
に従事．2010年情報処理記念賞受賞．情報処理学会理事．電子情報通信学会，
IEEE，IEEE-CS，ACM 各会員．}
\end{biography}



\end{document}