Continuation based C での Hoare Logic を用いた記述と検証

外間政尊 - 琉球大学 : 並列信頼研究室

OS の検証技術としての Hoare Logic の問題点

OS やアプリケーションの信頼性は重要な課題
信頼性を上げるために仕様の検証が必要
検証にはモデル検査や定理証明などが存在する
また、仕様検証の手法として Hoare Logic がある
- プログラムを書く上である関数は実行する前に必要な引数があって何らかの出力がある
- Hoare Logic ではコマンドを実行する上で引数が存在するなどの事前に成り立つ条件があり、コマンド実行後に異なる条件が成り立つ
Hoare Logic では関数が最低限のコマンドまで分割されており記述が困難(変数の代入、コマンド実行の遷移等)
大規模なプログラムは構築しづらい

Hoare Logic　をベースにした Gears 単位での検証

当研究室では処理の単位を CodeGear、データの単位を DataGear としてプログラムを記述する手法を提案
CodeGear は Input DataGear を受け取り、処理を行って Output DataGear に書き込む
CodeGear は継続を用いて次の CodeGear に接続される
定理証明支援機の Agda 上で Gears 単位を用いた検証を行う
本研究では Gears 単位を用いた Hoare Logic ベースの検証手法を提案する

Gears について

Gears は当研究室で提案しているプログラム記述手法
処理の単位を CodeGear 、データの単位を DataGear
CodeGear は引数として Input の DataGear を受け取り、 Output の DataGear を返す
Output の DataGear は次の CodeGear の Input として接続される
CodeGear の接続処理などのメタ計算は Meta CodeGear として定義
Meta CodeGear で信頼性の検証を行う

Agda のデータ型

データ型はプリミティブなデータ

この型のとき値は一意に定まる

1  data Nat : Set where
2      zero : Nat
3      suc  : Nat → Nat

レコード型は複数のデータをまとめる

複数の値を保持できる

1  record Env : Set where 
2      field
3        varn : Nat
4        vari : Nat

Agda のデータ型と DataGear

DataGear は CodeGear でつかわれる引数をまとめたもの
Agda で使われる

Agda での Gears の記述(whileTest)

Agda での CodeGear は継続渡し (CPS : Continuation Passing Style) で記述された関数
{} は暗黙的(推論される)
継続渡しの関数は引数として継続を受け取って継続に計算結果を渡す
CodeGear の型は引数 → (Code : fa → t) → t
t は継続(最終的に返すもの)

(Code : fa → t) は次の継続先

1  whileTest : {t : Set} → (c10 : Nat) 
2                → (Code : Env → t) → t
3  whileTest c10 next = next (record {varn = c10 
4                                     ; vari = 0} )

Agda での Gears の記述(whileLoop)

関数の動作を条件で変えたいときはパターンマッチを行う

whileLoop は varn が 0 より大きい間ループする

1  whileLoopPwP' : {t : Set} → (n : ℕ) → (env : Envc ) → (n ≡ varn env) → whileTestStateP s2 env
2    → (next : (env : Envc ) → (pred n ≡ varn env) → whileTestStateP s2 env  → t)
3    → (exit : (env : Envc ) → whileTestStateP sf env  → t) → t
4  whileLoopPwP' zero env refl refl next exit = exit env refl
5  whileLoopPwP' (suc n) env refl refl next exit =
6    next (record env {varn = pred (varn env) ; vari = suc (vari env) }) refl (+-suc n (vari env))

Agda での証明

関数との違いは型が証明すべき論理式で関数自体がそれを満たす導出
- refl は x ≡ x
- cong は関数と x ≡ y 受け取って、x ≡ y の両辺に関数を適応しても等しいことが変わらないこと
+zero は任意の自然数の右から zero を足しても元の数と等しいことの証明
- y = zero のときは zero ≡ zero のため refl
- y = suc y のときは cong を使い y の数を減らして再帰的に+zeroを行っている
- y の数を減らしても大丈夫なことを cong の関数として受け取った数を suc する関数で保証している
  1+zero : { y : Nat } → y + zero ≡ y 2+zero {zero} = refl 3+zero {suc y} = cong ( λ x → suc x ) ( +zero {y} )

Hoare Logic をベースとした Gears での検証手法

今回 Hoare Logic で証明する次のようなコードを検証した
このプログラムは変数iとnをもち、 n>0 の間nの値を減らし、i の値を増やす
n==0 のとき停止するため、終了時の変数の結果は i==10、n==0 になる
```
1 n = 10;
2 i = 0;
3
4 while (n>0)
5 {
6   i++;
7   n--;
8 }
```

Gears をベースにしたプログラム

test は whileTest と whileLoop を使った Gears のプログラム
whileTest の継続先にDataGear を受け取って whileLoop に渡す
- (λ 引数 → )は無名の関数で引数を受け取って継続する

1    test : Env
2    test = whileTest 10 (λ env → whileLoop env (λ env1 → env1))
3
4    -- whileTest : {t : Set} → (c10 : Nat) → (Code : Env → t) → t
5    -- whileLoop : {t : Set} → Env → (Code : Env → t) → t

Gears をベースにした Hoare Logic と証明(全体)

proofGears は Hoare Logic をベースとした証明
- 先程のプログラムと違い、引数として証明も持っている

whileTest’ の継続に conversion1、その継続に whileLoop’ が来て最後の継続に vari が c10 と等しい

1  -- test = whileTest 10 (λ env → whileLoop env (λ env1 → env1))
2  proofGears : {c10 :  Nat } → Set
3  proofGears {c10} = whileTest' {_} {_} {c10} (λ n p1 →
4           conversion1 n p1  (λ n1 p2 → whileLoop' n1 p2 
5           (λ n2 →  ( vari n2 ≡ c10 ))))

Gears と Hoare Logic をベースにした証明(whileTest)

最初の Command なので PreCondition がない
proof2は Post Condition が成り立つことの証明
- /\ は pi1 と pi2 のフィールドをもつレコード型
- これは２つのものを引数に取り、両方が同時に成り立つことを表している
- refl は x == x で左右の項が等しいことの証明

Gears での PostCondition は 引数 → (Code : fa → PostCondition → t) → t

1  whileTest' : {l : Level} {t : Set l} {c10 :  ℕ } 
2    → (Code : (env : Env )  → ((vari env) ≡ 0) /\ ((varn env) ≡ c10) → t) → t
3  whileTest' {_} {_}  {c10} next = next env proof2
4    where
5      env : Env
6      env = record {vari = 0 ; varn = c10 }
7      proof2 : ((vari env) ≡ 0) /\ ((varn env) ≡ c10) -- PostCondition
8      proof2 = record {pi1 = refl ; pi2 = refl}

Gears と Hoare Logic をベースにした証明(conversion)

conversion は Condition から LoopInvaliant への変換を行う CodeGear
- Condition の条件は Loop 内では厳しいのでゆるくする
proof4 は LoopInvaliant の証明

1    conv : (env : Envc ) → (vari env ≡ 0) /\ (varn env ≡ c10 env) → varn env + vari env ≡ c10 env
2    conv e record { pi1 = refl ; pi2 = refl } = +zero

Hoare Logic の証明

Hoare Logic の証明では基本的に項の書き換えを行って証明している
proof4 の証明部分では論理式のvarn env + vari env を書き換えて c10 に変換している
変換で使っている cong は関数と x ≡ y 受け取って両辺に関数を適応しても等しいことが変わらないことの証明

変換後の式を次の行に書いて変換を続ける

1  conv1 : {l : Level} {t : Set l } → (env : Envc )
2    → ((vari env) ≡ 0) /\ ((varn env) ≡ (c10 env))
3    → (Code : (env1 : Envc ) → (varn env1 + vari env1 ≡ (c10 env1)) → t) → t
4  conv1 env record { pi1 = refl ; pi2 = refl } next = next env +zero

Gears と Hoare Logic をベースにした証明(whileLoop)

whileLoop も whileTest と同様に PreCondition が CodeGear に入りそれに対する証明が記述されている
ループステップごとに whileLoopPwP’ で停止か継続かを判断し、 loopPwP’ でループが回る

 1    whileLoopPwP' : {l : Level} {t : Set l} → (n : ℕ) → (env : Envc ) → (n ≡ varn env) → whileTestStateP s2 env
 2      → (next : (env : Envc ) → (pred n ≡ varn env) → whileTestStateP s2 env  → t)
 3      → (exit : (env : Envc ) → whileTestStateP sf env  → t) → t
 4    whileLoopPwP' zero env refl refl next exit = exit env refl
 5    whileLoopPwP' (suc n) env refl refl next exit = 
 6      next (record env {varn = pred (varn env) ; vari = suc (vari env) }) refl (+-suc n (vari env))
 7
 8    loopPwP' zero env refl refl exit = exit env refl
 9    loopPwP' (suc n) env refl refl exit  = whileLoopPwP' (suc n) env refl refl 
10        (λ env x y → loopPwP' n env x y exit) exit

Gears と Hoare Logic をベースにした仕様記述

proofGears では最終状態が i と c10 が等しくなるため仕様になっている

1    whileProofs : (c :  ℕ ) → Set
2    whileProofs c = whileTestPwP {_} {_} c 
3       ( λ env s → conv1 env s 
4       ( λ env s → loopPwP' (varn env) env refl s 
5       ( λ env s → vari env ≡ c10 env )))

Gears と Hoare Logic を用いた仕様の証明

先程の whileProofs で行った仕様記述を型に記述し、実際に証明していく
このままだと loopPwP’ のループが進まず証明できない

 1--    whileProofs c = whileTestPwP {_} {_} c 
 2--       ( λ env s → conv1 env s 
 3--       ( λ env s → loopPwP' (varn env) env refl s 
 4--       ( λ env s → vari env ≡ c10 env )))
 5
 6    ProofGears : (c : ℕ) → whileProofs c
 7    ProofGears c = whileTestPwP {_} {_} c
 8      (λ env s →  loopPwP' c (record { c10 = c ; varn = c ; vari = 0 }) refl +zero
 9      (λ env₁ s₁ → {!!}))
10
11    Goal: loopPwP' c (record { c10 = c ; varn = c ; vari = 0 }) refl
12          +zero (λ env₂ s₂ → vari env₂ ≡ c10 env₂)
13    ------------------------------------------------------------
14    s₁   : vari env₁ ≡ c10 env₁
15    env₁ : Envc
16    s    : (vari env ≡ 0) /\ (varn env ≡ c10 env)
17    env  : Envc
18    c    : ℕ

検証時の Loop の解決

loopHelper は今回のループを解決する証明
ループ解決のためにループの簡約ができた

1    loopHelper : (n : ℕ) → (env : Envc ) → (eq : varn env ≡ n) → (seq : whileTestStateP s2 env) 
2      → loopPwP' n env (sym eq) seq (λ env₁ x → (vari env₁ ≡ c10 env₁))
3    loopHelper zero env eq refl rewrite eq = refl
4    loopHelper (suc n) env eq refl rewrite eq = loopHelper n 
5      (record { c10 = suc (n + vari env) ; varn = n ; vari = suc (vari env) }) refl (+-suc n (vari env))

Gears と Hoare Logic を用いた仕様の証明(完成)

loopHelper を使って簡約することで whileProofs の証明を行うことができた

1    --    whileProofs c = whileTestPwP {_} {_} c 
2    --       ( λ env s → conv1 env s 
3    --       ( λ env s → loopPwP' (varn env) env refl s 
4    --       ( λ env s → vari env ≡ c10 env )))
5    ProofGears : (c : ℕ) → whileProofs c
6    ProofGears c = whileTestPwP {_} {_} c 
7       (λ env s → loopHelper c (record { c10 = c ; varn = c ; vari = zero }) refl +zero)

まとめと今後の課題

CodeGear、 DataGear を用いた Hoare Logic ベースの仕様記述を導入した
Hoare Logic ベースの検証を実際に行うことができた
証明時の任意回の有限ループに対する解決を行えた
今後の課題
- BinaryTree の有限ループに対する証明
- Hoare Logic で検証されたコードの CbC 変換
- 並列実行での検証