|
103
|
1 <!DOCTYPE html>
|
|
|
2 <html>
|
|
|
3 <head>
|
|
|
4 <meta http-equiv="content-type" content="text/html;charset=utf-8">
|
|
|
5 <title>メタ計算を用いた Continuation based C の検証手法</title>
|
|
|
6
|
|
|
7 <meta name="generator" content="Slide Show (S9) v2.5.0 on Ruby 2.3.3 (2016-11-21) [x86_64-darwin16]">
|
|
|
8 <meta name="author" content="Yasutaka Higa" >
|
|
|
9
|
|
|
10 <!-- style sheet links -->
|
|
|
11 <link rel="stylesheet" href="s6/themes/projection.css" media="screen,projection">
|
|
|
12 <link rel="stylesheet" href="s6/themes/screen.css" media="screen">
|
|
|
13 <link rel="stylesheet" href="s6/themes/print.css" media="print">
|
|
|
14 <link rel="stylesheet" href="s6/themes/blank.css" media="screen,projection">
|
|
|
15
|
|
|
16 <!-- JS -->
|
|
|
17 <script src="s6/js/jquery-1.11.3.min.js"></script>
|
|
|
18 <script src="s6/js/jquery.slideshow.js"></script>
|
|
|
19 <script src="s6/js/jquery.slideshow.counter.js"></script>
|
|
|
20 <script src="s6/js/jquery.slideshow.controls.js"></script>
|
|
|
21 <script src="s6/js/jquery.slideshow.footer.js"></script>
|
|
|
22 <script src="s6/js/jquery.slideshow.autoplay.js"></script>
|
|
|
23
|
|
|
24 <!-- prettify -->
|
|
|
25 <link rel="stylesheet" href="scripts/prettify.css">
|
|
|
26 <script src="scripts/prettify.js"></script>
|
|
|
27
|
|
|
28 <script>
|
|
|
29 $(document).ready( function() {
|
|
|
30 Slideshow.init();
|
|
|
31
|
|
|
32 $('code').each(function(_, el) {
|
|
|
33 if (!el.classList.contains('noprettyprint')) {
|
|
|
34 el.classList.add('prettyprint');
|
|
|
35 }
|
|
|
36 });
|
|
|
37 prettyPrint();
|
|
|
38 } );
|
|
|
39
|
|
|
40
|
|
|
41 </script>
|
|
|
42
|
|
|
43 <!-- Better Browser Banner for Microsoft Internet Explorer (IE) -->
|
|
|
44 <!--[if IE]>
|
|
|
45 <script src="s6/js/jquery.microsoft.js"></script>
|
|
|
46 <![endif]-->
|
|
|
47
|
|
|
48
|
|
|
49
|
|
|
50 </head>
|
|
|
51 <body>
|
|
|
52
|
|
|
53 <div class="layout">
|
|
|
54 <div id="header"></div>
|
|
|
55 <div id="footer">
|
|
|
56 <div align="right">
|
|
|
57 <img src="s6/images/logo.svg" width="200px">
|
|
|
58 </div>
|
|
|
59 </div>
|
|
|
60 </div>
|
|
|
61
|
|
|
62 <div class="presentation">
|
|
|
63
|
|
|
64 <div class='slide cover'>
|
|
|
65 <table width="90%" height="90%" border="0" align="center">
|
|
|
66 <tr>
|
|
|
67 <td>
|
|
|
68 <div align="center">
|
|
|
69 <h1><font color="#808db5">メタ計算を用いた Continuation based C の検証手法</font></h1>
|
|
|
70 </div>
|
|
|
71 </td>
|
|
|
72 </tr>
|
|
|
73 <tr>
|
|
|
74 <td>
|
|
|
75 <div align="left">
|
|
|
76 Yasutaka Higa
|
|
|
77
|
|
|
78 <hr style="color:#ffcc00;background-color:#ffcc00;text-align:left;border:none;width:100%;height:0.2em;">
|
|
|
79 </div>
|
|
|
80 </td>
|
|
|
81 </tr>
|
|
|
82 </table>
|
|
|
83 </div>
|
|
|
84
|
|
|
85 <div class='slide '>
|
|
|
86 <!-- === begin markdown block ===
|
|
|
87
|
|
|
88 generated by markdown/1.2.0 on Ruby 2.3.3 (2016-11-21) [x86_64-darwin16]
|
|
124
|
89 on 2017-02-14 16:17:51 +0900 with Markdown engine kramdown (1.13.0)
|
|
103
|
90 using options {}
|
|
|
91 -->
|
|
|
92
|
|
|
93 <!-- _S9SLIDE_ -->
|
|
|
94 <h1 id="section">プログラミング言語とソフトウェアの信頼性</h1>
|
|
|
95 <ul>
|
|
|
96 <li>信頼性の高いソフトウェアを提供したい</li>
|
|
|
97 <li>ソフトウェアの仕様を検証するには二つの手法がある
|
|
|
98 <ul>
|
|
|
99 <li>プログラムの持つ状態を数え上げ、仕様から外れた状態が無いかを確認するモデル検査</li>
|
|
|
100 <li>プログラムの性質を直接証明してしまう定理証明</li>
|
|
|
101 </ul>
|
|
|
102 </li>
|
|
|
103 <li>モデル検査も証明も行ないやすい言語として Continuation based C 言語を開発している</li>
|
|
|
104 </ul>
|
|
|
105
|
|
|
106
|
|
|
107 </div>
|
|
|
108 <div class='slide '>
|
|
|
109 <!-- _S9SLIDE_ -->
|
|
|
110 <h1 id="section-1">二つのアプローチを用いたソフトウェア検証</h1>
|
|
|
111 <ul>
|
|
|
112 <li>モデル検査的アプローチ
|
|
|
113 <ul>
|
|
119
|
114 <li>メタ計算ライブラリ akasha による CbC の網羅的な実行</li>
|
|
103
|
115 <li>非破壊赤黒木の仕様定義と検証</li>
|
|
|
116 </ul>
|
|
|
117 </li>
|
|
|
118 <li>定理証明的なアプローチ
|
|
|
119 <ul>
|
|
|
120 <li>依存型を持つ証明支援系言語 Agda による CbC の証明</li>
|
|
|
121 <li>部分型を利用して Agda 上に型付きの CbC の項を記述する</li>
|
|
|
122 <li>型システムを通して CbC の形式的な定義を得る</li>
|
|
|
123 <li>SingleLinkedStack の性質の証明</li>
|
|
|
124 </ul>
|
|
|
125 </li>
|
|
|
126 </ul>
|
|
|
127
|
|
|
128
|
|
|
129 </div>
|
|
|
130 <div class='slide '>
|
|
|
131 <!-- _S9SLIDE_ -->
|
|
122
|
132 <h1 id="section-2">モデル検査的アプローチについての流れ</h1>
|
|
114
|
133 <ul>
|
|
121
|
134 <li>既存のモデル検査器について</li>
|
|
114
|
135 <li>Continuation based C (CbC) 言語について</li>
|
|
|
136 <li>CbC における CodeSegment と DataSegment を用いたプログラミングスタイル</li>
|
|
|
137 <li>CbC とメタ計算について</li>
|
|
|
138 <li>CbC で記述された GearsOS とそのデータ構造である赤黒木</li>
|
|
|
139 <li>赤黒木の仕様の定義とその検証手法</li>
|
|
|
140 </ul>
|
|
|
141
|
|
|
142
|
|
|
143 </div>
|
|
|
144 <div class='slide '>
|
|
|
145 <!-- _S9SLIDE_ -->
|
|
121
|
146 <h1 id="spin">既存のモデル検査器 spin</h1>
|
|
|
147 <ul>
|
|
|
148 <li>spin
|
|
|
149 <ul>
|
|
|
150 <li>promela と呼ばれる言語でプログラムを記述</li>
|
|
|
151 <li>並列に動作するプログラムの仕様を検証可能</li>
|
|
|
152 <li>検証した promela から実行可能な C ソースを生成可能</li>
|
|
|
153 <li>仕様は bool になる式を用いた assert</li>
|
|
|
154 <li>デメリット: promela は C とは記述が異なる</li>
|
|
|
155 </ul>
|
|
|
156 </li>
|
|
|
157 </ul>
|
|
|
158
|
|
|
159 <pre><code>assert(x < 10);
|
|
|
160 </code></pre>
|
|
|
161
|
|
|
162
|
|
|
163 </div>
|
|
|
164 <div class='slide '>
|
|
|
165 <!-- _S9SLIDE_ -->
|
|
|
166 <h1 id="cbmc">既存のモデル検査器 CBMC</h1>
|
|
|
167 <ul>
|
|
|
168 <li>CBMC
|
|
|
169 <ul>
|
|
|
170 <li>検証対象のCソースを変更しないでも良い</li>
|
|
|
171 <li>C/C++ 言語の記号実行が可能
|
|
|
172 <ul>
|
|
|
173 <li>条件分岐を網羅的に実行</li>
|
|
|
174 </ul>
|
|
|
175 </li>
|
|
|
176 <li>仕様は bool になる式を用いた assert</li>
|
|
|
177 <li>有限ステップだけ検証する有界モデル検査器</li>
|
|
|
178 </ul>
|
|
|
179 </li>
|
|
|
180 </ul>
|
|
|
181
|
|
|
182 <pre><code>assert(x < 10);
|
|
|
183 </code></pre>
|
|
|
184
|
|
|
185
|
|
|
186 </div>
|
|
|
187 <div class='slide '>
|
|
|
188 <!-- _S9SLIDE_ -->
|
|
103
|
189 <h1 id="continuation-based-c">Continuation based C</h1>
|
|
|
190 <ul>
|
|
|
191 <li>当研究室で開発しているプログラミング言語</li>
|
|
|
192 <li>アセンブラとC言語の中間のような言語であり、構文はほとんど C 言語</li>
|
|
|
193 <li>OS や組み込みソフトウェアなどを対象にしている</li>
|
|
|
194 <li>CodeSegment と DataSegment という単位を用いてプログラミングする</li>
|
|
121
|
195 <li>モデル検査と証明の両検証手法をメタ計算として利用可能
|
|
|
196 <ul>
|
|
|
197 <li>CbC で CbC 自身を検証可能</li>
|
|
|
198 </ul>
|
|
|
199 </li>
|
|
103
|
200 </ul>
|
|
|
201
|
|
|
202
|
|
|
203 </div>
|
|
|
204 <div class='slide '>
|
|
|
205 <!-- _S9SLIDE_ -->
|
|
|
206 <h1 id="codesegment">CodeSegment</h1>
|
|
|
207 <ul>
|
|
|
208 <li>CodeSegment とは
|
|
|
209 <ul>
|
|
120
|
210 <li>処理の単位であり、入力と出力を持つ</li>
|
|
103
|
211 <li>結合や分割が容易</li>
|
|
|
212 </ul>
|
|
|
213 </li>
|
|
120
|
214 <li>CodeSegment どうしを接続することによりプログラム全体を作る
|
|
|
215 <ul>
|
|
|
216 <li>関数呼び出しと違って戻ってこない(goto)</li>
|
|
|
217 </ul>
|
|
|
218 </li>
|
|
103
|
219 </ul>
|
|
|
220
|
|
116
|
221 <p><img src="./images/cs.svg" alt="cs" width="50%" /></p>
|
|
114
|
222
|
|
120
|
223 <pre><code>__code cs0(int a, int b){
|
|
|
224 goto cs1(a+b);
|
|
|
225 }
|
|
|
226 </code></pre>
|
|
|
227
|
|
103
|
228
|
|
|
229 </div>
|
|
|
230 <div class='slide '>
|
|
|
231 <!-- _S9SLIDE_ -->
|
|
|
232 <h1 id="datasegment">DataSegment</h1>
|
|
|
233 <ul>
|
|
|
234 <li>DataSegment とは
|
|
|
235 <ul>
|
|
|
236 <li>データの単位</li>
|
|
|
237 <li>CodeSegment の入出力にあたる</li>
|
|
|
238 <li>接続元の Output DataSegment は接続先の Input DataSegment</li>
|
|
|
239 </ul>
|
|
|
240 </li>
|
|
|
241 </ul>
|
|
|
242
|
|
116
|
243 <p><img src="./images/ds.svg" alt="ds" width="50%" /></p>
|
|
114
|
244
|
|
120
|
245 <pre><code>__code cs0(int a, int b){
|
|
|
246 goto cs1(a+b);
|
|
|
247 }
|
|
|
248 </code></pre>
|
|
|
249
|
|
103
|
250
|
|
|
251 </div>
|
|
|
252 <div class='slide '>
|
|
|
253 <!-- _S9SLIDE_ -->
|
|
122
|
254 <h1 id="section-3">メタ計算</h1>
|
|
103
|
255 <ul>
|
|
|
256 <li>とある計算を実現するための計算</li>
|
|
|
257 <li>ネットワーク接続、例外処理、メモリ確保、並列処理など</li>
|
|
|
258 <li>CbC は通常レベルの計算とメタ計算を分離して考える
|
|
|
259 <ul>
|
|
|
260 <li>通常レベルではポインタは出てこない、など</li>
|
|
|
261 </ul>
|
|
|
262 </li>
|
|
114
|
263 <li>CodeSegment の接続部分に処理を追加することで実現</li>
|
|
103
|
264 </ul>
|
|
|
265
|
|
114
|
266 <p><img src="./images/meta.svg" alt="meta" width="50%" /></p>
|
|
|
267
|
|
103
|
268
|
|
|
269 </div>
|
|
|
270 <div class='slide '>
|
|
|
271 <!-- _S9SLIDE_ -->
|
|
|
272 <h1 id="meta-codesegment">Meta CodeSegment</h1>
|
|
|
273 <ul>
|
|
|
274 <li>メタ計算を行なう CodeSegment</li>
|
|
|
275 <li>通常の CodeSegment どうしの接続の間に入る</li>
|
|
|
276 </ul>
|
|
|
277
|
|
121
|
278 <p><img src="./images/mcs.svg" alt="mcs" width="75%" /></p>
|
|
116
|
279
|
|
103
|
280
|
|
|
281 </div>
|
|
|
282 <div class='slide '>
|
|
|
283 <!-- _S9SLIDE_ -->
|
|
|
284 <h1 id="meta-datasegment">Meta DataSegment</h1>
|
|
|
285 <ul>
|
|
|
286 <li>メタ計算用の DataSegment</li>
|
|
|
287 <li>通常の DataSegment を含むような DataSegment</li>
|
|
|
288 </ul>
|
|
|
289
|
|
121
|
290 <p><img src="./images/mds.svg" alt="mds" width="75%" /></p>
|
|
116
|
291
|
|
103
|
292
|
|
|
293 </div>
|
|
|
294 <div class='slide '>
|
|
|
295 <!-- _S9SLIDE_ -->
|
|
|
296 <h1 id="gearsos">並列に信頼性高く動作する GearsOS</h1>
|
|
|
297 <ul>
|
|
|
298 <li>CbC を用いたメタ計算の例として本研究室で開発している GearsOS がある</li>
|
|
|
299 <li>並列実行やモデル検査をメタ計算として提供する</li>
|
|
|
300 <li>現在はメモリ管理、Synchronized Queue、非破壊赤黒木などが実装済み</li>
|
|
|
301 <li>今回はこの非破壊赤黒木の検証を行なう</li>
|
|
|
302 </ul>
|
|
|
303
|
|
|
304
|
|
|
305 </div>
|
|
|
306 <div class='slide '>
|
|
|
307 <!-- _S9SLIDE_ -->
|
|
122
|
308 <h1 id="section-4">赤黒木</h1>
|
|
103
|
309 <ul>
|
|
|
310 <li>データの保存に用いる二分木</li>
|
|
|
311 <li>特に赤黒木はノードが持つ赤か黒の色を使って木のバランスを取る
|
|
|
312 <ul>
|
|
|
313 <li>ルートノードと葉ノードの色は黒</li>
|
|
|
314 <li>赤ノードは2つの黒ノードを子として持つ(よって赤ノードが続くことは無い)</li>
|
|
|
315 <li>ルートから最下位ノードへの経路に含まれる黒ノードの数はどの最下位ノードでも一定</li>
|
|
|
316 </ul>
|
|
|
317 </li>
|
|
|
318 </ul>
|
|
|
319
|
|
120
|
320 <p><img src="./images/rbtree.svg" alt="rbtree" width="35%" /></p>
|
|
116
|
321
|
|
103
|
322
|
|
|
323 </div>
|
|
|
324 <div class='slide '>
|
|
|
325 <!-- _S9SLIDE_ -->
|
|
|
326 <h1 id="gearsos-">GearsOS における赤黒木の利用例(ノードの挿入)</h1>
|
|
|
327 <ul>
|
|
|
328 <li>挿入したい要素を DataSegment に格納して次の CodeSegment へ goto</li>
|
|
|
329 <li>goto する前に Meta CodeSegment が実行されて木に挿入する</li>
|
|
|
330 </ul>
|
|
|
331
|
|
114
|
332 <p><img src="./images/put.svg" alt="put" width="50%" /></p>
|
|
|
333
|
|
120
|
334 <pre><code>goto meta(context, Put);
|
|
|
335 </code></pre>
|
|
|
336
|
|
103
|
337
|
|
|
338 </div>
|
|
|
339 <div class='slide '>
|
|
|
340 <!-- _S9SLIDE_ -->
|
|
122
|
341 <h1 id="section-5">仕様の記述とその確認</h1>
|
|
103
|
342 <ul>
|
|
|
343 <li>「バランスが取れている」とは何かを表現できる必要がある
|
|
|
344 <ul>
|
|
121
|
345 <li>実行可能な CbC の条件式を使った assert になる</li>
|
|
103
|
346 </ul>
|
|
|
347 </li>
|
|
|
348 <li>そしてそれを保証したい
|
|
|
349 <ul>
|
|
|
350 <li>プログラムの全ての状態においてこれは常に成り立つのか?</li>
|
|
|
351 </ul>
|
|
|
352 </li>
|
|
|
353 </ul>
|
|
|
354
|
|
|
355
|
|
|
356 </div>
|
|
|
357 <div class='slide '>
|
|
|
358 <!-- _S9SLIDE_ -->
|
|
122
|
359 <h1 id="section-6">チェックする仕様</h1>
|
|
103
|
360 <ul>
|
|
119
|
361 <li>赤黒木の高さに関する仕様に以下のものがある
|
|
114
|
362 <ul>
|
|
|
363 <li>木をルートから辿った際に最も長い経路は最も短い経路の高々2倍に収まる</li>
|
|
|
364 </ul>
|
|
|
365 </li>
|
|
122
|
366 <li>以下のような条件式を仕様として CbC で定義できる</li>
|
|
103
|
367 </ul>
|
|
|
368
|
|
119
|
369 <pre><code>__code verifySpecificationFinish(struct Context* context) {
|
|
|
370 if (context->data[AkashaInfo]->akashaInfo.maxHeight >
|
|
|
371 2*context->data[AkashaInfo]->akashaInfo.minHeight)
|
|
|
372 {
|
|
|
373 context->next = Exit;
|
|
|
374 goto meta(context, ShowTrace);
|
|
114
|
375 }
|
|
119
|
376 goto meta(context, DuplicateIterator);
|
|
|
377 }
|
|
114
|
378 </code></pre>
|
|
|
379
|
|
103
|
380
|
|
|
381 </div>
|
|
|
382 <div class='slide '>
|
|
|
383 <!-- _S9SLIDE_ -->
|
|
120
|
384 <h1 id="akasha">メタ計算ライブラリ akasha</h1>
|
|
|
385 <ul>
|
|
|
386 <li>メタ計算としてプログラムの状態を数え上げる
|
|
|
387 <ul>
|
|
|
388 <li>goto された時に挿入される要素の組み合わせを全て列挙して実行する
|
|
|
389 <ul>
|
|
|
390 <li>赤黒木の状態の保存、挿入、チェック、次の状態の列挙、赤黒木の再現……</li>
|
|
|
391 </ul>
|
|
|
392 </li>
|
|
122
|
393 <li>挿入する度に仕様の式が成り立つかをチェック</li>
|
|
120
|
394 </ul>
|
|
|
395 </li>
|
|
|
396 <li>ノーマルレベルのコードを検証用に変更せず検証可能</li>
|
|
|
397 </ul>
|
|
|
398
|
|
121
|
399 <p><img src="./images/akashaPut.svg" alt="akashaPut" width="50%" /></p>
|
|
120
|
400
|
|
|
401
|
|
|
402 </div>
|
|
|
403 <div class='slide '>
|
|
|
404 <!-- _S9SLIDE_ -->
|
|
103
|
405 <h1 id="akasha--cbmc-">akasha と CBMC の比較</h1>
|
|
|
406 <ul>
|
|
|
407 <li>akasha は有限の要素数の組み合わせをチェックする
|
|
|
408 <ul>
|
|
|
409 <li>要素数が13個までならどの順で木に挿入しても良い</li>
|
|
|
410 </ul>
|
|
|
411 </li>
|
|
|
412 <li>比較対象として C Bounded Model Checker を使用した
|
|
|
413 <ul>
|
|
|
414 <li>C/C++ の記号実行を行なう</li>
|
|
|
415 <li>実行可能なステップ数411だけ展開しても仕様は満たされる</li>
|
|
|
416 <li>が、恣意的にバグを入れ込んでも反例を返さない</li>
|
|
|
417 <li>akasha は返した</li>
|
|
|
418 </ul>
|
|
|
419 </li>
|
|
|
420 <li>固定の要素数までの仕様検査で十分なのか?</li>
|
|
|
421 </ul>
|
|
|
422
|
|
|
423
|
|
|
424 </div>
|
|
|
425 <div class='slide '>
|
|
|
426 <!-- _S9SLIDE_ -->
|
|
114
|
427 <h1 id="continuation-based-c-">定理証明を Continuation based C へ適用するには</h1>
|
|
103
|
428 <ul>
|
|
|
429 <li>任意の回数だけ木の操作を行なっても大丈夫なことを保証したい</li>
|
|
121
|
430 <li>直接プログラムの性質を証明</li>
|
|
114
|
431 <li>Coq, Agda, ATS2 などのプログラミング言語で証明が可能
|
|
103
|
432 <ul>
|
|
114
|
433 <li>本当は CbC で CbC 自身を証明したい</li>
|
|
|
434 <li>しかし CbC の形式的な定義が無いために今はできない</li>
|
|
103
|
435 </ul>
|
|
|
436 </li>
|
|
114
|
437 <li>Agda 上に CbC を定義することで形式的な定義を得る</li>
|
|
103
|
438 </ul>
|
|
|
439
|
|
|
440
|
|
|
441 </div>
|
|
|
442 <div class='slide '>
|
|
|
443 <!-- _S9SLIDE_ -->
|
|
122
|
444 <h1 id="agda-">Agda における証明</h1>
|
|
|
445 <ul>
|
|
|
446 <li>論理式は型に相当して、証明はその値の導出</li>
|
|
|
447 <li>三段論法の証明は以下のようになる
|
|
|
448 <ul>
|
|
|
449 <li>「((A ならば B) かつ (B ならば C)) ならば (A ならば C)</li>
|
|
|
450 </ul>
|
|
|
451 </li>
|
|
|
452 </ul>
|
|
|
453
|
|
|
454 <pre><code>f : {A B C : Set} -> ((A -> B) × (B -> C)) -> (A -> C)
|
|
|
455 f = \p x -> (snd p) ((fst p) x)
|
|
|
456 </code></pre>
|
|
|
457
|
|
|
458
|
|
|
459 </div>
|
|
|
460 <div class='slide '>
|
|
|
461 <!-- _S9SLIDE_ -->
|
|
|
462 <h1 id="agda--1">Agda における等式の証明</h1>
|
|
|
463 <ul>
|
|
|
464 <li>Agda では等式も証明できる
|
|
|
465 <ul>
|
|
|
466 <li>依存型という型を変数として扱える型システムを持つ</li>
|
|
|
467 <li>型を取って型を返す型などが定義可能</li>
|
|
|
468 </ul>
|
|
|
469 </li>
|
|
|
470 <li>等式の証明は両方が同じ項に簡約されることを示せば良い</li>
|
|
|
471 <li>自然数の加法の交換法則は以下のようになる</li>
|
|
|
472 </ul>
|
|
|
473
|
|
|
474 <pre><code>addSym : (n m : Nat) -> n + m ≡ m + n
|
|
|
475 addSym O O = refl
|
|
|
476 addSym O (S m) = cong S (addSym O m)
|
|
|
477 addSym (S n) O = cong S (addSym n O)
|
|
|
478 addSym (S n) (S m) = begin
|
|
|
479 (S n) + (S m) ≡⟨ refl ⟩
|
|
|
480 S (n + S m) ≡⟨ cong S (addSym n (S m)) ⟩
|
|
|
481 S ((S m) + n) ≡⟨ addToRight (S m) n ⟩
|
|
|
482 S (m + S n) ≡⟨ refl ⟩
|
|
|
483 (S m) + (S n) ∎
|
|
|
484 </code></pre>
|
|
|
485
|
|
|
486
|
|
|
487 </div>
|
|
|
488 <div class='slide '>
|
|
|
489 <!-- _S9SLIDE_ -->
|
|
114
|
490 <h1 id="agda--datasegment">Agda と DataSegment</h1>
|
|
103
|
491 <ul>
|
|
121
|
492 <li>CbC の DataSegment は Agda のレコード型
|
|
|
493 <ul>
|
|
|
494 <li>名前付きの値が複数ある(C の構造体)</li>
|
|
|
495 </ul>
|
|
|
496 </li>
|
|
103
|
497 </ul>
|
|
|
498
|
|
114
|
499 <pre><code>__code cs0(int a, int b){
|
|
|
500 goto cs1(a+b);
|
|
|
501 }
|
|
|
502 </code></pre>
|
|
|
503 <pre><code>record ds0 : Set where
|
|
|
504 field
|
|
|
505 a : Int
|
|
|
506 b : Int
|
|
|
507 </code></pre>
|
|
|
508
|
|
103
|
509
|
|
|
510 </div>
|
|
|
511 <div class='slide '>
|
|
|
512 <!-- _S9SLIDE_ -->
|
|
114
|
513 <h1 id="agda--codesegment">Agda と CodeSegment</h1>
|
|
103
|
514 <ul>
|
|
121
|
515 <li>CbC の CodeSegment は、Agda の関数型
|
|
|
516 <ul>
|
|
|
517 <li>Input を取って Output を返す</li>
|
|
|
518 </ul>
|
|
|
519 </li>
|
|
114
|
520 </ul>
|
|
|
521
|
|
|
522 <pre><code>__code cs0(int a, int b){
|
|
|
523 goto cs1(a+b);
|
|
|
524 }
|
|
|
525 </code></pre>
|
|
116
|
526 <pre><code>data CodeSegment (A B : Set) : Set where
|
|
|
527 cs : (A -> B) -> CodeSegment A B
|
|
|
528
|
|
|
529 cs0 : CodeSegment ds0 ds1
|
|
114
|
530 cs0 = cs (\d -> goto cs1 (record {c = (ds0.a d) + (ds0.b d)}))
|
|
|
531 </code></pre>
|
|
|
532
|
|
|
533
|
|
|
534 </div>
|
|
|
535 <div class='slide '>
|
|
|
536 <!-- _S9SLIDE_ -->
|
|
122
|
537 <h1 id="section-7">メタレベルの型付け</h1>
|
|
114
|
538 <ul>
|
|
|
539 <li>メタ計算とは通常のレベルとは区別された計算</li>
|
|
|
540 <li>任意の通常のレベルの計算を扱えなくてはならない
|
|
103
|
541 <ul>
|
|
114
|
542 <li>ライブラリが呼び出されるプログラムは無数にあるようなイメージ</li>
|
|
123
|
543 <li>そしてメタ計算もメタ計算で扱えなくてはいけない</li>
|
|
103
|
544 </ul>
|
|
|
545 </li>
|
|
114
|
546 <li>メタレベルを使うための制約を満たしていれば良い、ということを表現できれば良い</li>
|
|
|
547 <li>部分型を使う
|
|
103
|
548 <ul>
|
|
114
|
549 <li>Java におけるインターフェース、Haskell における型クラス</li>
|
|
120
|
550 <li>「このフィールドXがあればデータ型Tとみなして良い」</li>
|
|
103
|
551 </ul>
|
|
|
552 </li>
|
|
|
553 </ul>
|
|
|
554
|
|
|
555
|
|
|
556 </div>
|
|
|
557 <div class='slide '>
|
|
|
558 <!-- _S9SLIDE_ -->
|
|
122
|
559 <h1 id="agda--2">Agda 上のメタ計算</h1>
|
|
103
|
560 <ul>
|
|
114
|
561 <li>ノーマルレベルの型を保持したままメタレベルの計算を利用できる
|
|
103
|
562 <ul>
|
|
115
|
563 <li>cs0 の定義はメタ計算用に変更しなくても良い</li>
|
|
103
|
564 </ul>
|
|
|
565 </li>
|
|
|
566 </ul>
|
|
|
567
|
|
120
|
568 <pre><code>cs0 : CodeSegment ds0 ds1
|
|
|
569 cs0 = cs (\d -> goto cs1 (record {c = (ds0.a d) + (ds0.b d)}))
|
|
|
570 </code></pre>
|
|
|
571
|
|
115
|
572 <pre><code>main : ds1
|
|
|
573 main = goto cs0 (record {a = 100 ; b = 50})
|
|
|
574 </code></pre>
|
|
|
575 <pre><code>main : Meta
|
|
120
|
576 main = gotoMeta push cs0 (record {context = (record {a = 100 ; b = 50 ; c = 70})
|
|
|
577 ; c' = 0 ; next = (N.cs id)})
|
|
115
|
578 </code></pre>
|
|
|
579
|
|
103
|
580
|
|
|
581 </div>
|
|
|
582 <div class='slide '>
|
|
|
583 <!-- _S9SLIDE_ -->
|
|
122
|
584 <h1 id="agda--3">Agda 上で証明できた性質</h1>
|
|
|
585 <ul>
|
|
|
586 <li>CodeSegment の合成則</li>
|
|
|
587 </ul>
|
|
|
588
|
|
|
589 <pre><code>comp-associative : > (a : CodeSegment A B) (b : CodeSegment C D) (c : CodeSegment E F)
|
|
|
590 -> csComp c (csComp b a) ≡ csComp (csComp c b) a
|
|
|
591 comp-associative (cs _) (cs _) (cs _) = refl
|
|
|
592 -- c . (b . a) ≡ (c . b) . a
|
|
|
593 </code></pre>
|
|
|
594
|
|
|
595 <ul>
|
|
|
596 <li>スタックの操作についての性質</li>
|
|
|
597 </ul>
|
|
|
598
|
|
|
599 <pre><code>push-pop-type : ℕ -> ℕ -> ℕ -> Element ℕ -> Set₁
|
|
|
600 push-pop-type n e x s = M.exec (M.csComp (M.cs popOnce) (M.cs pushOnce)) meta ≡ meta
|
|
|
601 -- goto (pop . push) mds ≡ mds
|
|
|
602
|
|
|
603 n-push-pop-type : ℕ -> ℕ -> ℕ -> SingleLinkedStack ℕ -> Set₁
|
|
|
604 n-push-pop-type n cn ce st = M.exec (M.csComp (n-pop n) (n-push n)) meta ≡ meta
|
|
|
605 -- goto (pop*n . push*n) mds ≡ mds
|
|
|
606 </code></pre>
|
|
|
607
|
|
|
608
|
|
|
609 </div>
|
|
|
610 <div class='slide '>
|
|
|
611 <!-- _S9SLIDE_ -->
|
|
114
|
612 <h1 id="agda--cbc-">Agda 上に CbC を記述した成果</h1>
|
|
103
|
613 <ul>
|
|
114
|
614 <li>部分型で CbC の型付けができた</li>
|
|
|
615 <li>メタ計算をきちんと階層化できた
|
|
103
|
616 <ul>
|
|
114
|
617 <li>メタ計算にもメタ計算が適用可能</li>
|
|
103
|
618 </ul>
|
|
|
619 </li>
|
|
114
|
620 <li>赤黒木で利用しているデータ構造スタックの性質を証明できた
|
|
103
|
621 <ul>
|
|
114
|
622 <li>任意の回数だけ値を積んで同じだけ取り出すとスタックは変化しない</li>
|
|
103
|
623 </ul>
|
|
|
624 </li>
|
|
|
625 </ul>
|
|
|
626
|
|
|
627
|
|
|
628 </div>
|
|
|
629 <div class='slide '>
|
|
|
630 <!-- _S9SLIDE_ -->
|
|
122
|
631 <h1 id="section-8">まとめ</h1>
|
|
103
|
632 <ul>
|
|
|
633 <li>Continuation based C 言語を対象にした二種類の検証アプローチ</li>
|
|
|
634 <li>モデル検査的なアプローチ
|
|
|
635 <ul>
|
|
|
636 <li>継続を上書きして可能な状態を数え上げるメタ計算ライブラリ akasha を実装</li>
|
|
122
|
637 <li>有限の要素数まで検証できた</li>
|
|
103
|
638 </ul>
|
|
|
639 </li>
|
|
|
640 <li>証明的なアプローチ
|
|
|
641 <ul>
|
|
|
642 <li>証明支援系 Agda 上で CbC のプログラムを定義して直接証明</li>
|
|
|
643 <li>部分型を利用して CbC を型付け</li>
|
|
|
644 <li>データ構造 SingleLinkedStack の証明ができた</li>
|
|
|
645 </ul>
|
|
|
646 </li>
|
|
|
647 </ul>
|
|
|
648
|
|
|
649
|
|
|
650 </div>
|
|
|
651 <div class='slide '>
|
|
|
652 <!-- _S9SLIDE_ -->
|
|
122
|
653 <h1 id="section-9">今後の課題</h1>
|
|
103
|
654 <ul>
|
|
121
|
655 <li>より大きなサイズの赤黒木の検証</li>
|
|
|
656 <li>赤黒木の挿入に関する性質を証明する</li>
|
|
103
|
657 <li>部分型を利用してCbCを型付け</li>
|
|
|
658 <li>依存型をCbC に導入して自身を証明可能にする</li>
|
|
|
659 </ul>
|
|
|
660
|
|
120
|
661
|
|
|
662 </div>
|
|
|
663 <div class='slide '>
|
|
|
664 <!-- _S9SLIDE_ -->
|
|
122
|
665 <h1 id="section-10">発表履歴</h1>
|
|
120
|
666 <ul>
|
|
|
667 <li>Agda 入門.
|
|
|
668 <ul>
|
|
|
669 <li>オープンソースカンファレンス 2014 Okinawa, May 2014.</li>
|
|
|
670 </ul>
|
|
|
671 </li>
|
|
|
672 <li>形式手法を学び始めて思うことと、形式手法を広めるには(2p).
|
|
|
673 <ul>
|
|
|
674 <li>情報処理学会ソフトウェア工学研究会 (IPSJ SIGSE) ウィンターワークショップ 2015・ イン・宜野湾 (WWS2015), Jan 2015.</li>
|
|
|
675 </ul>
|
|
|
676 </li>
|
|
|
677 <li>Continuation based C を用いたプログラムの検証手法(6p).
|
|
|
678 <ul>
|
|
|
679 <li>2016 年並列/分散/協調処理に関する『松本』サマー・ワークショップ (SWoPP2016)</li>
|
|
|
680 <li>情報処理学会・プログラミング研究会 第 110 回プログラミング研究会 (PRO-2016-2) Aug 2016.</li>
|
|
|
681 </ul>
|
|
|
682 </li>
|
|
|
683 </ul>
|
|
|
684
|
|
103
|
685 <!-- vim: set filetype=markdown.slide: -->
|
|
|
686
|
|
|
687 <!-- === end markdown block === -->
|
|
|
688 </div>
|
|
|
689
|
|
|
690
|
|
|
691 </div><!-- presentation -->
|
|
|
692 </body>
|
|
|
693 </html>
|
