守卫命令语言
守卫命令语言(GCL:Guarded Command Language)是艾兹赫尔·戴克斯特拉为谓词变换语义定义的一门语言[1]。它以精简方式组合了编程概念,它们处在以某种实际的编程语言书写程序之前。它的简单性使得采用霍尔逻辑证明程序的正确性更加容易。
守卫命令
守卫(guarded)命令是守卫命令语言的最重要元素。在守卫命令中,同名字所说一样,这个命令是被守卫着的。这个守卫是先决条件,在这个语言被执行之前,它必须为真。在这个语句执行开始时,可以假定这个守卫为真。还有,如果这个守卫为假,这个语句将不被执行。使用守卫命令使得证明程序满足规定更加容易。这个语句也经常是另一个守卫命令。
语法
一个守卫命令是形如G → S的一个语句,这里的
- G是先决条件,叫做守卫(guard);
- S是语句。
如果G为真,守卫命令可以简单的写为S。
语义
当在计算中遇到G的时刻,求值它。
- 如果G为真,执行S;
- 如果G为假,查看上下文来决定做什么(在任何情况下,都不执行S)。
跃过和中止
在守卫命令语言中,跃过(skip)和中止(abort)是非常简单也是非常重要的语句。中止是未定义指令:做任何事情。中止语句甚至不需要终止(terminate)。在公式化一个证明的时候,它被用来描述一个程序,在这种情况下证明通常失败。跃过是空指令:什么事情都不做。它被用在程序自身中,当语法要求一个语句的时候,而编程者却不想要机器改变状态。
语法
skip
abort
语义
- Skip: 什么事情都不做
- Abort: 做任何事情
赋值
将值指派给变量。
语法
v := E
或
v0, v1, ..., vn := E0, E1, ..., En
这里的
- v是程序变量,
- E是数据类型同于其对应变量的表达式。
串接
语句由分号(;)来分割。
选择:if
选择(经常叫做“条件语句”或“if语句”)是守卫命令的列表,从中选取一个来执行。如果多于一个守卫为真,非确定性的选取一个语句来执行。如果没有守卫为真,结果是未定义的。因为至少一个守卫必须为真,空语句"skip"经常是需要的。
语法
if G0 → S0 □ G1 → S1 ... □ Gn → Sn fi
语义
在执行一个选择的时候求值所有的守卫。如果没有守卫被求值为真,则选择的执行会abort,否则非确定性的选择其值为真的守卫之一,并执行对应的语句[2]。
例子
简单
用伪代码:
- if a < b then c := True
- else c := False
用守卫命令语言:
if a < b → c := true □ a ≥ b → c := false fi
使用skip
用伪代码:
- if error = True then x := 0
用守卫命令语言:
if error = true → x := 0 □ error = false → skip fi
如果第二个守卫被省略,并且error = False,结果是abort。
多个守卫为真
if a ≥ b → max := a □ b ≥ a → max := b fi
如果a = b,要么a要么b被选取为极大值的新值,具有相同的结果。但是,在实现这个例子的时候,可能会发现一个比另一个更容易或更快。因为对于编程者这里没有区别,可以随意实现任何一种方式。
重复:do
重复会反复的执行守卫命令知道没有守卫为真。通常,这里只有一个守卫。
语法
do G0 → S0 □ G1 → S1 ... □ Gn → Sn od
语义
当执行重复的时候所有守卫都求值。如果所有守卫都求值为假,则执行skip。否则非确定性的选取其值为真的守卫之一,并执行对应的语句,此后再次执行重复。
例子
欧几里德算法
a, b := A, B; do a < b → b := b - a □ b < a → a := a - b od
这个重复在a = b时候结束,在这种情况下a和b持有A和B的最大公约数。
戴克斯特拉在这个算法中见到了两个无限循环a := a - b和b := b - a同步的一种方式,在这种方式下a≥0和b≥0保持为真。
扩展欧几里德算法
a, b, x, y, u, v := A, B, 1, 0, 0, 1; do b ≠ 0 → □ q, r := a div b, a mod b; □ a, b, x, y, u, v := b, r, u, v, x - q*u, y - q*v od
这个重复在b = 0的时候结束,在这种情况下变量持有对贝祖等式:xA + yB = gcd(A,B)的解。
非确定性排序
do a>b → a, b := b, a □ b>c → b, c := c, b □ c>d → c, d := d, c od
这个程序在其中一个元素大于它的后续者的时候持续的置换元素。这个非确定性冒泡排序不比它的确定性版本更加有效率, 但是易于证明:只要元素仍未有序它就不会停止并且它每步至少排序2个元素。
Arg max
x, y = 1, 1 do x≠n → □ if f(x) ≤ f(y) → x := x+1 □ □ f(x) ≥ f(y) → y := x; x := x+1 □ fi od
这个算法找到值1 ≤ y ≤ n,对于它给定整数函数是最大的。不只是这个计算而且最终状态都不是必然唯一确定的。
应用
构造正确程序
将观察的守卫命令的同余关系推广成格导致了精制演算[3]。这已经机制化于形式化方法如B方法中,它允许从它们的规定形式化的导出程序。
异步电路
守卫命令适合于准延迟不敏感电路设计,因为重复允许不同命令选择的任意相对延迟。在这种应用之,在电路中驱动一个节点y的逻辑门构成自两个守卫命令如下:
PullDownGuard → y := 0 PullUpGuard → y := 1
这里的PullDownGuard和PullUpGuard是逻辑门输入的函数,它描述了什么时候这个逻辑门分别将输出拉下或拉上。不同于经典的电路评估模型,一组守卫命令的重复(对应于一个异步电路)可以准确的描述这个电路的所有可能的动态行为。[4]
模型检查
守卫命令可以用在Promela编程语言中,它被用于SPIN模型检查器。SPIN验证并发软件应用的正确操作。
其他
Perl模块Commands::Guarded实现了戴克斯特拉的守卫命令的一个确定性的校正变体。
引用
- ^ Dijkstra, Edsger W. EWD472: Guarded commands, non-determinacy and formal. derivation of programs. (PDF). [August 16, 2006]. (原始内容存档 (PDF)于2021-01-18).
- ^ Anne Kaldewaij, Programming: The Derivation of Algorithms, Prentice Hall, 1990
- ^ Back, Ralph J. On the Correctness of Refinement Steps in Program Development (Phd-Thesis) (PDF). 1978 [2021-02-17]. (原始内容 (pdf)存档于2011-07-20).
- ^ Martin, Alain J. Synthesis of Asynchronous VLSI Circuits.